[Перевод] Короткий срок сессии не повышает безопасность
После логина в веб-приложение сессия не остаётся валидной навечно. Обычно срок сессии истекает спустя заданное время после логина или после того, как пользователь ничего не делал в течение какого-то времени. Какими должны быть эти сроки?
Введение
В некоторых веб-приложениях сессии имеют ограниченный срок. Спустя какое-то время пользователь разлогинивается и должен заново пройти аутентификацию. Для безопасности рекомендуют использовать достаточно быстрые таймауты сессий, например, выход через пятнадцать минут неактивности. Однако большинство мобильных приложений и больших веб-приложений наподобие Gmail или GitHub не придерживаются этой рекомендации. Похоже, что после логина сессия продолжается бесконечно и аутентификацию проходить больше не нужно. Такие приложения небезопасны? Умнее ли Google и Microsoft, чем NIST и OWASP?
Читать далееИсточник: Хабрахабр
Похожие новости
- Пентест на автопилоте: что доверить роботам, а что — нет?
- Ботнеты растут, стратегия DDoS — меняется? Аналитический отчет за первое полугодие 2025
- VI Форум «Мой бизнес» в Архангельске: предприниматели, эксперты и представители власти обсудят рост в новых условиях
- Утечка хендлов в IP Helper API: как мы нашли и обошли ещё один баг Windows
- Тайна замочной скважины — зачем ПК запирали на ключ
- [Перевод] Как ИБ-специалисты могут превратить шумиху в новые возможности
- Как настроить работу с ПД на сайте клиники: база и тонкости
- Политики безопасности k8s gatekeeper OPA. Интеграция с GO
- Почему фаундер — лучший маркетолог: история провалов и роста B2B-продукта
- От раздражения к лояльности: как UX влияет на бизнес-показатели