В чем причина настройки и функциональности времени ожидания входа в систему?

Если приложение перенаправляет пользователя на страницу входа в Keycloak и находится там дольше, чем время ожидания входа (по умолчанию 5 минут), то когда пользователь вводит имя пользователя и пароль вместо входа в систему, его приветствует:

Вы слишком долго авторизовались. Процесс входа в систему начинается с самого начала.

Чтобы избежать этого, можно изменить Настройки области → Токены → Тайм-аут входа, например, на 10000 дней, что составляет 27 лет, что должно гарантировать, что это никогда не произойдет в реальности.

Но прежде чем мы продолжим и эффективно отключим этот тайм-аут, мы хотели бы спросить: какова цель этого тайм-аута? Кто-то явно потрудился реализовать его, но от чего он защищает? Каковы (безопасность?) последствия его отключения?

keycloak

12.12.2020

Ответы:

Насколько я знаю, он в основном используется как дополнительный механизм для предотвращения атак с фиксацией сеанса. Например, в компании пользователь идет пить кофе и оставляет компьютер включенным, а затем хакер видит возможность и вручную проставляет в адресе браузера текущий логин session ID (или просто копирует его). Теперь, если система настроена таким образом, что session ID не меняется между фазами входа pre и pos. Затем, после успешной аутентификации жертвы, хакер сможет использовать без какой-либо аутентификации сеанс, в котором жертва находится в данный момент;

Чем выше тайм-аут, тем шире будет окно возможностей для таких атак. Тайм-аут входа в систему — это еще один уровень защиты, позволяющий избежать таких проблем, поскольку это истечение срока действия сеанса, изменение идентификатора сеанса между этапами до входа и после входа в систему, среди прочего.

Более формально можно прочитать в (источник).

Время ожидания при первоначальном входе. Этот дополнительный механизм защиты пытается принудительно обновить предварительную аутентификацию идентификатора сеанса, избегая ситуаций, когда ранее использованный (или установленный вручную) идентификатор сеанса повторно используется следующей жертвой, использующей тот же компьютер. , например, в атаках фиксации сеанса.

И с OWASP.org

Фиксация сеанса – это атака, позволяющая злоумышленнику перехватить действительный сеанс пользователя. Атака исследует ограничение в том, как веб-приложение управляет идентификатором сеанса, в частности, уязвимое веб-приложение. При аутентификации пользователя новый идентификатор сеанса не назначается, что позволяет использовать существующий идентификатор сеанса. Атака состоит из получения действительного идентификатора сеанса (например, путем подключения к приложению), побуждения пользователя аутентифицировать себя с помощью этого идентификатора сеанса, а затем перехвата проверенного пользователем сеанса с помощью знания используемого идентификатора сеанса. Злоумышленник должен предоставить легитимный идентификатор сеанса веб-приложения и попытаться заставить браузер жертвы использовать его.

Достаточно хорошее объяснение того, как работают атаки фиксации сеанса и как их предотвратить здесь и здесь.

Я не эксперт по безопасности, но я бы сказал, что если у вас есть другие механизмы предотвращения, такие как изменение идентификатора сеанса, вы должны быть в порядке. Однако, с другой стороны, вам действительно нужно так много времени для входа в систему? И так ли уж раздражает просто обновить снова?

12.12.2020

Спасибо за отличный ответ. Именно то, на что я надеялся. Да, я не думаю, что нашей команде по управлению продуктами понравится, что вы слишком долго входите в систему. Процесс входа в систему начинается с самого начала. Теперь, благодаря вашему ответу, у меня есть факты, чтобы мы вместе могли принять обоснованное решение. 14.12.2020

Новые материалы

Кластеризация: более глубокий взгляд

Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..

Как написать эффективное резюме

Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..

Частный метод Python: улучшение инкапсуляции и безопасности

Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..

Как я автоматизирую тестирование с помощью Jest

Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..

Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)

Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..

Понимание расстояния Вассерштейна: мощная метрика в машинном обучении

В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..

Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot

В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..

Теги
Machine Learning JavaScript Blockchain Artificial Intelligence Data Science Cryptocurrency Software Development Python Web Development Coding Deep Learning AI Bitcoin React Software Engineering Ethereum Web3 Business Crypto Nodejs Solidity Development Front End Development Data Finance Money Java Trading Typescript Smart Contracts Productivity Tech Startup Investing Neural Networks Developer Computer Science NLP