In un'applicazione web il timeout della sessione non è definito né nell'applicazione né nella configurazione dell'applicazione. Ma il timeout predefinito è preso da IIS. qual è il problema di sicurezza se il timeout della sessione è il valore predefinito della sessione del server IIS? Il problema varia da IIS a sfera Web?
Un test penna potrebbe interpretare la presenza di impostazioni di timeout predefinite come un'indicazione che ci si dimentica di impostarlo.
Il timeout deve essere impostato in modo specifico per l'applicazione. Ad esempio, se si gestiscono carte di credito, PCI-DSS richiede un timeout di inattività di 15 minuti.
what is the security issue if the session time-out is default IIS server session value?
Dì su un sistema di sicurezza elevato, come una banca, potresti voler automaticamente disconnettere l'utente se lascia la sessione aperta.
es. Bob lascia il suo computer collegato a bank.example.com mentre risponde alla porta. È il suo amico Alan, quindi vanno in cucina a fare da bere e dimentica che ha effettuato l'accesso.
Il figlio di Bob, Chuck si avvicina al laptop e può trasferirsi un po 'di soldi in più.
Lo stesso vale per altri ambienti, come gli uffici, anche se si potrebbe sostenere che i dipendenti dovrebbero bloccare i propri schermi quando lasciano la scrivania.
Il mio punto è che tutto dipende dalla propensione al rischio della tua applicazione. Molti siti in questi giorni, come Facebook e Google, sembrano lasciare l'accesso per un lungo periodo. Ciò lascia il sistema esposto a compromissioni di sessione come CSRF e XSS nel caso in cui tali vulnerabilità esistano sul tuo sistema. Cioè, l'attaccante ha una grande finestra in cui eseguire il loro attacco. Sicuramente per CSRF, anche se per XSS dipende dal fatto che l'istanza dell'attacco funzioni per una sessione appena stabilita.
I timeout delle sessioni di grandi dimensioni possono anche causare un carico aggiuntivo del server, a meno che ciò non sia tenuto in considerazione nell'architettura (ad esempio, l'archiviazione delle sessioni in un DB esterno invece che nella memoria del server).
Piccoli timeout possono infastidire gli utenti e indurli a cambiare la loro password in qualcosa di molto facile da digitare, anche se di nuovo dovrebbero usare gestori di password per i loro accessi.
Quindi in sintesi dipende dall'applicazione, dalla sua sensibilità, dai suoi ambienti di utilizzo e dal tipo di utente.
Leggi altre domande sui tag iis webserver web-application session-management