¿Qué pasa con JWT? El token web JSON, usualmente identificado por sus siglas JWT, brinda un recurso eficaz para autenticar y habilitar el acceso en los programas web. No obstante, un uso inadecuado de esta herramienta puede resultar en serios fallos de seguridad. En este escrito, discutiremos los desafíos frecuentes vinculados con JWT y cómo pueden ser explotados si no se abordan adecuadamente. Riesgos con la Firma Una prevalente complicación con JWT es el riesgo relacionado con la firma. Los tokens JWT están sellados digitalmente para constatar su veracidad. No obstante, si la llave secreta usada para sellar el token es frágil o está vulnerada, un invasor podría falsificar tokens JWT. Por ejemplo, si el intruso tiene acceso a la llave secreta, podría crear sus propios tokens JWT y ingresar al programa como cualquier usuario. Esto resultaría especialmente amenazante si el intruso puede crear un token con privilegios de gestión. Algoritmo No Usado Además, JWT presenta otro dilema con el algoritmo "no usado". Este algoritmo, fiel a su nomenclatura, prescinde de cualquier firma. Teóricamente, este algoritmo solo se usa en circunstancias en las que se puede confiar plenamente en el generador del token. No obstante, si un programa permite tokens con el algoritmo "no usado", un invasor podría fabricar tokens JWT sin requerir una clave secreta. Divulgación de Datos Confidenciales Los tokens JWT albergan datos en su payload, que es bsicamente un texto codificado en base64. Aunque…Read More