Il processo di completamento di una sessione consiste principalmente nel verificare che l'utente dell'applicazione non possa essere riutilizzato dopo la registrazione dell'utente dell'applicazione. È inoltre necessario verificare il modo in cui l'applicazione gestisce i dati memorizzati in memoria. Per ridurre al minimo il tempo in cui un utente malintenzionato può attaccare una sessione attiva e prenderne il controllo, impostare un timeout di scadenza per ogni sessione, specificando per quanto tempo rimarrà attiva. Stabilire un tempo di scadenza della sessione troppo lungo per un'applicazione Web aumenta il rischio di attacchi attivi basati su sessione. Più breve è l'intervallo di sessione, minore è il tempo necessario a un utente malintenzionato per prendere il controllo. I valori di timeout di scadenza della sessione devono essere impostati in base allo scopo e alla natura dell'applicazione Web, nonché bilanciando la sicurezza e l'usabilità in modo che l'utente possa eseguire comodamente le operazioni nell'applicazione Web senza perdere frequentemente la sessione. I timeout di inattività tipici sono 2-5 minuti per le applicazioni ad alto rischio e 15-30 minuti per le applicazioni a basso rischio. La figura seguente mostra la risposta del server con il tempo di validità del cookie di sessione di un anno di troppo.
Testare il processo di terminazione della sessione
Aggiungi ai preferiti : permalink.