Thời gian hết hạn phiên ngắn không giúp ích cho bảo mật

 (sjoerdlangkemper.nl)
12 điểm bởi GN⁺ 2023-08-19 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các ứng dụng web thường làm hết hạn phiên sau một khoảng thời gian cố định hoặc sau một thời gian người dùng không hoạt động, và lời khuyên bảo mật hiện nay thường đề xuất thời gian chờ phiên ngắn (short session expiration)
  • Tuy nhiên, nhiều ứng dụng web phổ biến như Gmail hay GitHub lại không làm theo cách này, làm dấy lên câu hỏi liệu thời gian chờ phiên ngắn có thực sự hiệu quả trong việc tăng cường bảo mật hay không
  • Mô hình đe dọa được xem xét bao gồm các kẻ tấn công giành quyền truy cập trái phép vào phiên đang hoạt động của người dùng bằng nhiều cách khác nhau, như đánh cắp cookie phiên, khai thác lỗ hổng session fixation, hoặc sử dụng cùng thiết bị với nạn nhân
  • Khi nói về các kịch bản mà thời gian chờ phiên ngắn có thể hữu ích, người ta thường lấy ví dụ như kẻ tấn công tìm thấy token phiên cũ trong log hoặc trên máy tính bị đánh cắp, nhưng đây là lập luận cho việc hết hạn phiên nói chung chứ không nhất thiết là phải ngắn
  • Vấn đề với máy tính công cộng dùng chung phần lớn không thực tế đối với đa số ứng dụng web, và kẻ tấn công có quyền truy cập vào một thiết bị đã được mở khóa có thể không cần phiên đang hoạt động mà vẫn tạo phiên mới để vượt qua
  • Nói cách khác, phiên ngắn có thể có nhược điểm cho cả trải nghiệm người dùng lẫn bảo mật, và việc buộc xác thực lại thường xuyên có thể khiến người dùng áp dụng những thực hành kém an toàn hơn
  • Kết luận là token phiên nhìn chung an toàn, còn các cuộc tấn công có thể bị ngăn bởi thời gian chờ phiên ngắn là rất hiếm. Những biện pháp khác như mã hóa ổ đĩa và khóa máy tính có thể mang lại bảo mật hiệu quả hơn
  • Các công ty lớn như Facebook, Google, Amazon và GitHub đều có các phiên không hết hạn, cho thấy họ xem mức rủi ro này là chấp nhận được

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-08-19
Ý kiến Hacker News
  • Trong các ứng dụng ngân hàng và tài chính, thời hạn phiên ngắn là điều thường thấy; điều này có thể được biện minh vì tập người dùng rất rộng, mức độ hấp dẫn đối với các kẻ tấn công cơ hội, và việc ứng dụng được dùng trong các tình huống căng thẳng hoặc bất thường.
  • Khi không có backchannel đáng tin cậy để nhà cung cấp danh tính thông báo cho dịch vụ về việc phiên đã hết hạn, thời hạn phiên ngắn thường được dùng để khắc phục các tiêu chuẩn xác thực còn thiếu sót.
  • Rủi ro khi dùng ứng dụng trên thiết bị dùng chung là có thật, và đặc biệt trong các môi trường thiết bị được chia sẻ như trong gia đình, việc hết hạn phiên nên mang tính đặc thù theo từng ứng dụng.
  • Một số người dùng cho rằng thời hạn phiên ngắn được dùng như một biện pháp bảo mật với cái giá là khả năng sử dụng, và đưa ra ví dụ về các hệ thống tự thanh toán.
  • Máy tính dùng chung không có sự tách biệt giữa người dùng là điều tồn tại trong thực tế, và chúng thường được dùng để truy cập các ứng dụng web chứa thông tin nhạy cảm.
  • Bài viết này bị chỉ trích vì đưa ra các giả định thiếu cơ sở và loại bỏ phiên ngắn như một biện pháp kiểm soát bảo mật dựa trên những bối cảnh người dùng cuối tưởng tượng.
  • Một số người dùng cho rằng quyết định của Google không dùng phiên ngắn có thể xuất phát nhiều hơn từ mong muốn thu thập thêm dữ liệu người dùng cho mục đích quảng cáo, thay vì từ các lo ngại về bảo mật.
  • Phiên ngắn có thể gây khó chịu và bất tiện cho người dùng, đặc biệt khi làm gián đoạn quy trình làm việc và yêu cầu xác thực lại mà không có cảnh báo trước.
  • Một số người dùng thích thời lượng phiên dài hơn, cho rằng giới hạn thời gian phiên ngắn không hiệu quả và chỉ được dùng để đáp ứng các bài kiểm tra kiểu checkbox của kiểm toán viên và pentester.
  • Có sự khác biệt giữa giới hạn thời gian phiên mềm được đặt lại theo hoạt động của người dùng và giới hạn thời gian phiên cứng chấm dứt phiên sau một khoảng thời gian nhất định bất kể hoạt động của người dùng.