Se encuentra en:
Desconexión de la sesión
LIBP-0312 (Libro de pautas)
- Área: Gestión de Sesiones y Usuarios
- Tipo de pauta: Directriz
- Carácter de la pauta: Obligatoria
Se recomienda seguir las siguientes indicaciones para la desconexión de la sesión:
Un aspecto muy importante a la hora de desarrollar las aplicaciones es tener en cuenta la desconexión de las sesiones. Con la desconexión de la sesión podemos evitar que un atacante pueda obtener de un usuario las credenciales de sesión que ya no está utilizando.
Pautas
| Título | Carácter |
|---|---|
| Caducidad de la sesión | Obligatoria |
| Desconexión de la aplicación | Obligatoria |
| Reducción de la oportunidad del ataque | Obligatoria |
Caducidad de la sesión
Asegurar que las sesiones tienen un tiempo de expiración adecuado.
Para asegurar que las sesiones tienen un tiempo de expiración adecuado podemos considerar configurar el tiempo de inactividad según el grado de seguridad que requiera la aplicación, teniendo en cuenta que no deben escribirse mecanismos para evadir el tiempo de inactividad ni funcionalidades como “Recuérdame”.
Desconexión de la aplicación
Permitir a los usuarios desconectarse de la aplicación.
Las aplicaciones deben poseer un método que permita a los usuarios desconectarse de la misma. La desconexión debe limpiar todos los estados de sesión y remover o invalidar cualquier cookie residual.
De esta manera se asegura que el ataque de reproducción no pueda ocurrir después de que el usuario se desconecte o la sesión expire.
Reducción de la oportunidad del ataque
Reducir la ventana de oportunidad del ataque.
Para reducir la ventana de oportunidad del ataque debemos utilizar tiempos máximos de conexión de sesión y regeneración de credenciales.
Contenidos relacionados
Recursos
| Código | Título | Tipo | Carácter |
|---|---|---|---|
| RECU-0665 | Eliminación de sesiones antes de un nuevo acceso en Java | Ejemplo | Obligatorio |
| RECU-0587 | Mal uso de la desconexión de sesión en Java | Ejemplo | Obligatorio |
