AuthSub 会话令牌永不过期;安全问题?

【问题标题】:AuthSub session token never expires; security problem?AuthSub 会话令牌永不过期;安全问题?
【发布时间】:2010-12-04 01:11:38
【问题描述】:

我正在使用 GData 的 AuthSub,因此我的管理应用程序不需要存储用户/密码信息。我刚刚在文档中了解到如何将第一个一次性令牌交换为会话令牌 (http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken)。然后这句话突然出现在我身上:

你可以忽略失效日期,当前没有使用;会话令牌实际上不会过期。

有人愿意解释一下未过期的令牌如何不是安全问题吗? “有效不过期”的真正含义是什么?从理论上讲,如果恶意应用程序设法获得这些令牌之一,它是否可以继续使用它而不考虑密码更改?是否可以查看当前在 Google 帐户上颁发了哪些会话令牌?

总之,我的妄想症已经占据了,我需要一个聪明的大人来安慰我!

编辑:您可以在 https://www.google.com/accounts/IssuedAuthSubTokens 手动撤销令牌

【问题讨论】:

    标签: security session gdata authsub


    【解决方案1】:

    是的,事实上,如果会话令牌永不过期,则CWE-384 识别出漏洞,如果会话需要很长时间才能过期,则违反CWE-613。两个 CWE 页面都对漏洞进行了很好的解释。我不知道这个应用程序的细节,但通常会话令牌可用于立即进行身份验证,而无需用户名/密码。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2014-10-27
      • 1970-01-01
      • 1970-01-01
      • 2015-09-28
      • 1970-01-01
      • 2017-02-09
      • 2019-07-04
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode