(...) re-authentication is required (...)
W ramach ćwiczeń rzucam temat związany z Application Security Verification Standards. Jakie są praktyczne korzyści z tytułowego wymagania i w jakich scenariuszach. Stosowne punkty w ASVS:
- V2.9 Verify that re-authentication is required before any application-specific sensitive operations are permitted.
- V3.7 Verify that the session id is changed on reauthentication.
Dla pobudzenia Waszej wyobraźni pytania:
- Jakie znacie aplikacje, które korzystają z tego mechanizmu?
- Czy korzystacie z tego rozwiązania w swoich aplikacjach (pytanie do nielicznych programistów)?
- Jakie operacje uznalibyście za application-specific sensitive operations w kontekście konkretnej aplikacji (do wyboru)?
- Co w przypadku, gdy na stacji działa malware?
- Dlaczego w bankach wymagane jest coś więcej do autoryzacji transakcji?
W temacie ostatniego pytania wiele razy się wypowiadałem w odniesieniu do bankowości internetowej, zresztą pośrednio odpowiadając na pytanie drugie. Ale Wasze zdanie wcale nie musi być takie samo, jak moje :)
Oryginał tego wpisu dostępny jest pod adresem (...) re-authentication is required (...)
Autor: Paweł Goleń