In che modo le app mobili mantengono sessioni così lunghe pur essendo considerate sicure?

Esistono due misure di sicurezza specifiche che aiutano a proteggere dagli attacchi di tipo hijacking-and-place-fraud-order che ti preoccupano:

1. I token di autenticazione possono essere collegati al dispositivo, poiché l'app mobile ha un accesso facile per quanto riguarda l'account (mobile) e l'ID specifico del dispositivo (UDID) il token di autenticazione può essere facilmente revocato se viene utilizzato per il dispositivo sbagliato, o nel contesto sbagliato. Questa non è tecnicamente una limitazione infallibile perché il servizio effettivo sta avvenendo tramite le chiamate HTTP (che possono essere "falsificate" da un utente malintenzionato), ma ciò significa che effettivamente approfittando di un token di autenticazione rubato richiederà cose come: il token di autenticazione , il dispositivo UDID (e potenzialmente più informazioni di identificazione) e conoscenza dettagliata delle chiamate API utilizzate da Amazon per effettuare ordini. Il rischio è decisamente basso.
2. L'altra protezione è che Amazon non ti lascia solo cambiare indirizzo. Anche se qualcuno ha ottenuto l'accesso al tuo account, non può semplicemente effettuare un ordine per se stesso. Una misura di sicurezza generale Amazon ha avuto luogo per molto tempo è che se un ordine viene inviato a un nuovo indirizzo è necessario immettere nuovamente i numeri di carta di credito memorizzati. Ciò rende impossibile inviarti roba se accedi all'account di qualcun altro. Potresti ovviare a questo, ovviamente, se hai anche accesso ai dati della tua carta di credito, ma come tutti sappiamo, in quel momento l'utente malintenzionato non si preoccuperebbe di usare il tuo account per piazzare l'ordine fraudolento.

Quindi, in breve, il rischio effettivo per Amazon di farlo è molto basso, e il potenziale di entrate perse a causa del fatto che le persone si registrano è (sono sicuro) molto più alto, motivo per cui lasciano persistere sessioni di lunga durata sui loro server.

Vale la pena sottolineare che c'è molto più in gioco che semplici ordini fraudolenti. Questo vale una lettura:

link

La sicurezza non è una proposizione binaria; cioè, le cose non sono "sicure" o "insicure", ma cadono da qualche parte su uno spettro di sicurezza.

Quindi, qualcuno in Amazon ha stabilito che mantenere le sessioni mobili in vita per diversi mesi e senza richiedere una ripubblicazione per il checkout, è abbastanza sicuro. Dal loro punto di vista, questo è probabilmente un equilibrio tra il costo (molto reale monetario) di costringere gli utenti a ri-autorizzare e il costo (molto reale) dei telefoni rubati degli utenti che ordinano ordini fraudolenti. Ho il sospetto che abbiano anche un'ulteriore individuazione di frodi in atto che contrassegnerà gli ordini sospetti, riducendo il costo di un telefono rubato da Amazon autorizzato.

Non ho molta familiarità con le specifiche di PCI-DSS, ma non penso che abbia delle disposizioni applicabili in questa situazione.

La sicurezza è un concetto relativo. L'equilibrio si trova spesso da qualche parte tra la convenienza e la percezione della minaccia (entrambi sono domini soggettivi!).

In generale, direi che le app per dispositivi mobili che mantengono sessioni autenticate per lunghi periodi non sono "sicure come potrebbero essere" se queste scadessero più frequentemente.

Tuttavia, è utile esaminare le due principali minacce che la scadenza della sessione è una protezione contro:

1. Alcuni (non tutti) l'uso condiviso di scenari di dispositivo
2. Dirottamento della sessione

I dispositivi mobili sono in gran parte dispositivi personali, le app mobili hanno un'esposizione alle minacce relativamente inferiore rispetto a una scheda del browser su un laptop / desktop system - dove un altro utente potrebbe utilizzare (con maggiore probabilità) il sistema, aprire una scheda dalla cronologia e trovare un account registrato.

Esistono altre protezioni contro il dirottamento di sessione, come l'uso di nonces per-conversazione e rilevamento di IP-client (controverso). Se un'app specifica utilizza qualsiasi protezione contro questo o no è un dettaglio importante ma spesso mancante. :)