短いセッション有効期限はセキュリティ向上に役立たない

 (sjoerdlangkemper.nl)
12 ポイント 投稿者 GN⁺ 2023-08-19 | 1件のコメント | WhatsAppで共有
  • Webアプリケーションは一般に、固定時間またはユーザーの非アクティブ期間の後にセッションを失効させ、現在のセキュリティ助言では短いセッションタイムアウト(short session expiration)が提案されている
  • しかし、GmailやGitHubのような多くの人気Webアプリケーションはこの慣行に従っておらず、実際に短いセッションタイムアウトがセキュリティ強化に有効なのかという疑問が提起される
  • 検討されている脅威モデルには、セッションクッキーの窃取、セッション固定脆弱性の悪用、被害者と同じデバイスの使用など、さまざまな方法でユーザーのアクティブなセッションに不正アクセスする攻撃者が含まれる
  • 短いセッションタイムアウトが有益になり得るシナリオとして、ログや盗難されたコンピューターから古いセッショントークンを見つける攻撃者などが例に挙げられるが、これは一般的なセッションタイムアウトを支持する議論であって、必ずしも短いタイムアウトを支持するものではない
  • 共有の公共コンピューターの問題は、ほとんどのWebアプリケーションにとって現実的ではなく、ロック解除されたデバイスにアクセスできる攻撃者はアクティブなセッションを必要とせず、新しいセッションを作成して回避できる
  • つまり、短いセッションはユーザー体験とセキュリティの両方に欠点を持ち得て、頻繁な再認証はユーザーにより安全でない慣行を採らせる可能性があるということ
  • 結論として、セッショントークンは一般に安全であり、短いセッションタイムアウトで防げる攻撃はまれである。ディスク暗号化やコンピューターのロックなど、ほかの対策の方がより効果的なセキュリティを提供し得る
  • Facebook、Google、Amazon、GitHubのような主要企業は期限切れのないセッションを採用しており、このリスクを許容可能と判断しているように見える

関連記事

1件のコメント

 
GN⁺ 2023-08-19
Hacker Newsの意見
  • 銀行や金融アプリでは短いセッション有効期限がよく見られ、これは幅広いユーザーベース、日和見的な攻撃者にとっての魅力、そしてストレス下や通常ではない状況で利用されることから正当化できる。
  • 信頼できるバックチャネルがなく、IDプロバイダーがサービスにセッション失効を通知できない場合、不十分な認証標準を補うために短いセッション有効期限がしばしば使われる。
  • 共有デバイスでのアプリケーション利用の脅威は問題であり、特に家族のようにデバイスが共有される環境では、セッション失効はアプリケーション固有であるべきだ。
  • 一部のユーザーは、短いセッション有効期限がユーザビリティを犠牲にしてセキュリティ対策として使われていると主張し、セルフ決済システムの例を挙げている。
  • ユーザー分離のない共有コンピューターは現実に存在し、そうした環境はしばしば機密情報を持つWebアプリケーションへのアクセスに使われる。
  • この記事は根拠のない仮定を置いており、想像上のエンドユーザー設定に基づいて短いセッションをセキュリティ制御として退けているとして批判されている。
  • 一部のユーザーは、Googleが短いセッションを使わないという決定は、セキュリティ上の懸念よりも、広告目的でより多くのユーザーデータを収集したいという欲求に由来している可能性があると主張する。
  • 短いセッションはユーザーに不親切で不便になり得る。特にワークフローを妨げ、警告なしに再認証を要求する場合はそうだ。
  • 一部のユーザーは、より長いセッションタイムアウトを好み、短いセッションタイムアウトは効果が薄く、監査担当者やペンテスターによるチェックボックス的なテストを満たすためにしか使われていないと主張する。
  • ユーザー活動に応じてリセットされるソフトなセッションタイムアウトと、ユーザー活動に関係なく一定時間後にセッションを終了させるハードなセッションタイムアウトには違いがある。