Paweł Goleń, blog

W ramach ćwiczeń rzucam temat związany z Application Security Verification Standards. Jakie są praktyczne korzyści z tytułowego wymagania i w jakich scenariuszach. Stosowne punkty w ASVS:

• V2.9 Verify that re-authentication is required before any application-specific sensitive operations are permitted.
• V3.7 Verify that the session id is changed on reauthentication.

Dla pobudzenia Waszej wyobraźni pytania:

• Jakie znacie aplikacje, które korzystają z tego mechanizmu?
• Czy korzystacie z tego rozwiązania w swoich aplikacjach (pytanie do nielicznych programistów)?
• Jakie operacje uznalibyście za application-specific sensitive operations w kontekście konkretnej aplikacji (do wyboru)?
• Co w przypadku, gdy na stacji działa malware?
• Dlaczego w bankach wymagane jest coś więcej do autoryzacji transakcji?

W temacie ostatniego pytania wiele razy się wypowiadałem w odniesieniu do bankowości internetowej, zresztą pośrednio odpowiadając na pytanie drugie. Ale Wasze zdanie wcale nie musi być takie samo, jak moje :)

Oryginał tego wpisu dostępny jest pod adresem (...) re-authentication is required (...)

Autor: Paweł Goleń