La nostra app mobile (finanziaria / bancaria) richiede all'utente di inserire nome utente / password per ottenere dati tramite chiamate al servizio web. Una volta che l'utente ha effettuato l'accesso, le credenziali vengono memorizzate nella variabile globale fino alla disconnessione dell'utente. Se l'applicazione viene inviata allo sfondo (messaggio di testo, chiamata telefonica, ecc.), Avremmo avviato un timer e disconnesso l'utente se l'app non si fosse riattivata dopo un intervallo di tempo specificato.
Uno dei nostri clienti ci ha detto che questo non è sicuro e ci sta chiedendo di cambiare questo comportamento e di disconnettere immediatamente l'utente se l'applicazione va in background. Non volevano rivelare il motivo per cui pensano che il nostro approccio sia insicuro e ci chiediamo se ciò che stiamo facendo sia davvero insicuro e perché, o se siano solo eccessivamente paranoici.