Kısa oturum sona erme süreleri güvenliğe yardımcı olmuyor

 (sjoerdlangkemper.nl)
12 puan yazan GN⁺ 2023-08-19 | 1 yorum | WhatsApp'ta paylaş
  • Web uygulamaları genellikle belirli bir sürenin sonunda veya kullanıcının bir süre etkin olmamasının ardından oturumu sonlandırır; mevcut güvenlik tavsiyeleri de kısa oturum zaman aşımını (short session expiration) önerir
  • Ancak Gmail veya GitHub gibi birçok popüler web uygulaması bu uygulamayı izlemiyor; bu da kısa oturum zaman aşımlarının güvenliği artırmada gerçekten etkili olup olmadığı sorusunu gündeme getiriyor
  • Ele alınan tehdit modeli; oturum çerezini çalma, oturum sabitleme zafiyetinden yararlanma ya da kurbanla aynı cihazı kullanma gibi çeşitli yöntemlerle kullanıcının aktif oturumuna yetkisiz erişim sağlayan saldırganları içeriyor
  • Kısa oturum zaman aşımlarının faydalı olabileceği senaryolar anlatılırken, günlüklerde veya çalınmış bir bilgisayarda eski oturum belirteçlerini bulan bir saldırgan örnek verilebilir; ancak bu, genel olarak oturum zaman aşımı lehine bir argümandır, mutlaka kısa olması lehine değil
  • Paylaşılan ortak bilgisayar sorunu, çoğu web uygulaması için gerçekte çok yaygın değildir; ayrıca kilidi açılmış bir cihaza erişen bir saldırgan, aktif bir oturuma ihtiyaç duymadan yeni bir oturum oluşturup bunu aşabilir
  • Yani kısa oturumlar hem kullanıcı deneyimi hem de güvenlik açısından dezavantajlar taşıyabilir; sık yeniden kimlik doğrulama istemek, kullanıcıları daha az güvenli alışkanlıklara itebilir
  • Sonuç olarak oturum belirteçleri genellikle güvenlidir ve kısa oturum zaman aşımlarıyla engellenebilecek saldırılar nadirdir. Disk şifreleme ve bilgisayarı kilitleme gibi diğer önlemler daha etkili güvenlik sağlayabilir
  • Facebook, Google, Amazon ve GitHub gibi büyük şirketlerin süresi dolmayan oturumlar kullanması, bu riski kabul edilebilir bulduklarını düşündürüyor

İlgili okumalar

1 yorum

 
GN⁺ 2023-08-19
Hacker News görüşleri
  • Banka ve finans uygulamalarında kısa oturum sürelerinin dolması yaygındır; bu durum geniş kullanıcı tabanı, fırsatçı saldırganlar için cazip olmaları ve stresli ya da olağandışı durumlarda kullanılmaları nedeniyle savunulabilir.
  • Güvenilir bir backchannel olmadığında ve kimlik sağlayıcısının bir hizmete oturumun sona erdiğini bildirmesi mümkün olmadığında, yetersiz kimlik doğrulama standartlarını telafi etmek için kısa oturum süreleri sıkça kullanılır.
  • Paylaşılan cihazlarda uygulama kullanımına yönelik tehditler gerçektir ve özellikle cihazların aile içinde paylaşıldığı ortamlarda oturum zaman aşımının uygulamaya özgü olması gerekir.
  • Bazı kullanıcılar, kısa oturum sürelerinin kullanılabilirlikten ödün verilerek bir güvenlik önlemi olarak kullanıldığını savunuyor ve self-checkout sistemlerini örnek gösteriyor.
  • Kullanıcı ayrımı olmayan paylaşımlı bilgisayarlar gerçek hayatta vardır ve bunlar çoğu zaman hassas bilgiler içeren web uygulamalarına erişmek için kullanılır.
  • Bu yazı, temelsiz varsayımlar yaptığı ve kısa oturumları hayali son kullanıcı ortamlarına dayanarak bir güvenlik kontrolü olarak tamamen dışladığı için eleştiriliyor.
  • Bazı kullanıcılar, Google'ın kısa oturumlar kullanmama kararının güvenlik kaygılarından çok reklam amaçlı daha fazla kullanıcı verisi toplama isteğinden kaynaklanıyor olabileceğini öne sürüyor.
  • Kısa oturumlar kullanıcıya karşıt ve rahatsız edici olabilir; özellikle iş akışını böldüklerinde ve uyarı vermeden yeniden kimlik doğrulama istediklerinde.
  • Bazı kullanıcılar daha uzun oturum sürelerini tercih ediyor ve kısa oturum sürelerinin etkisiz olduğunu, yalnızca denetçilerin ve pentester'ların kutu işaretleme testlerini karşılamak için kullanıldığını savunuyor.
  • Kullanıcı etkinliğine göre sıfırlanan yumuşak oturum zaman aşımı ile, kullanıcı etkinliğinden bağımsız olarak belirli bir süreden sonra oturumu sonlandıran katı oturum zaman aşımı arasında fark vardır.