4

管理アプリケーションがユーザー/パスワード情報を保存する必要がないように、GDataのAuthSubを使用しています。ドキュメントで、最初の使い捨てトークンをセッショントークンと交換する方法を学びました(http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken) 。そして、この声明は私に飛び出しました:

現在使用されていない有効期限は無視してかまいません。セッショントークンは事実上期限切れになりません。

有効期限が切れていないトークンがセキュリティの問題ではないことを誰かが説明してくれませんか?「事実上期限切れにならない」とは、実際にはどういう意味ですか?理論的には、悪意のあるアプリケーションがこれらのトークンの1つを取得できた場合、パスワードの変更に関係なく、引き続きそれを使用できますか?Googleアカウントで現在発行されているセッショントークンを確認することはできますか?

要するに、私の妄想は定着しました、そして私は私を慰めるために大きくて賢い人が必要です!

編集: https://www.google.com/accounts/IssuedAuthSubTokensでトークンを手動で取り消すことができます

4

1 に答える 1

1

はい、実際、セッショントークンが期限切れにならない場合は、CWE-384によって脆弱性が認識されます。セッションの期限切れに非常に長い時間がかかる場合は、CWE-613に違反しています。どちらのCWEページにも、この脆弱性についての優れた説明があります。このアプリケーションの詳細はわかりませんが、通常はセッショントークンを使用して、ユーザー名/パスワードを必要とせずにすぐに認証できます。

于 2010-01-20T19:11:12.917 に答える