Considerazioni se dovessi allungare le date di scadenza della sessione a un certo intervallo se il client rimane attivo?

0

La nostra API è protetta da sessioni che vengono archiviate e controllate dal db (IW non firmato da un client) e hanno una scadenza memorizzata nel db.

A partire da ora non aggiorna mai la scadenza, ma mi piacerebbe che i client che eseguono il ping del server a un certo intervallo per rimanere loggati.

Non ne ho mai sentito parlare, quindi volevo solo assicurarmi di non avere un difetto enorme.

Quindi opzioni.

  1. Ogni volta che colpiscono un endpoint, aumentano la scadenza per dire 1 ora da ora. È un po 'eccessivo però.

  2. Per rallentare gli aggiornamenti del db, potrei dire che se eseguono il ping entro 15 min. di scadenza, lo aggiornerò per un'altra ora.

  3. Qualcosa di meglio?

O ci sono dei buchi di sicurezza che mi mancano?

    
posta Josh.F 30.06.2017 - 20:42
fonte

1 risposta

2

Come abbiamo discusso nei commenti, il problema più grande qui è che se qualcuno riceve un token di sessione, semplicemente può inviare richieste periodiche e mantenere la sessione in esecuzione.

Anche una volta che una sessione è scaduta. Basta contrassegnarlo scaduto. Non lasciare che una sessione si rinnovi su un altro ping. (Suppongo che queste sessioni non siano come utenti diversi sulla stessa macchina: in questo caso, potrebbe anche accadere che un utente si dimentichi di disconnettersi e che un altro utente effettui l'accesso e ottenga l'accesso anche dopo che la sessione è scaduta)

Puoi consultare il foglio cheat OWASP sui modi per gestire la scadenza della sessione.

    
risposta data 30.06.2017 - 21:08
fonte

Leggi altre domande sui tag