Une expiration de session courte n’aide pas la sécurité

 (sjoerdlangkemper.nl)
12 points par GN⁺ 2023-08-19 | 1 commentaires | Partager sur WhatsApp
  • Les applications web expirent généralement les sessions après une durée fixe ou après une période d’inactivité de l’utilisateur, et les recommandations de sécurité actuelles suggèrent des délais d’expiration de session courts
  • Cependant, de nombreuses applications web populaires comme Gmail ou GitHub ne suivent pas cette pratique, ce qui soulève la question de savoir si des délais d’expiration de session courts renforcent réellement la sécurité
  • Le modèle de menace pris en compte inclut des attaquants obtenant un accès non autorisé à la session active d’un utilisateur par divers moyens, comme le vol de cookies de session, l’exploitation de vulnérabilités de fixation de session, ou l’utilisation du même appareil que la victime
  • Lorsqu’on évoque les scénarios dans lesquels des délais d’expiration de session courts pourraient être bénéfiques, on cite par exemple le cas d’attaquants trouvant d’anciens jetons de session dans des journaux ou sur des ordinateurs volés, mais il s’agit d’un argument en faveur de l’expiration des sessions en général, pas nécessairement de délais courts
  • Le problème des ordinateurs publics partagés n’est pas réaliste pour la plupart des applications web, et un attaquant ayant accès à un appareil déverrouillé n’a pas besoin d’une session active et peut contourner cela en créant une nouvelle session
  • En d’autres termes, des sessions courtes peuvent présenter des inconvénients à la fois pour l’expérience utilisateur et pour la sécurité, et le fait de se réauthentifier fréquemment peut pousser les utilisateurs à adopter des pratiques moins sûres
  • Conclusion : les jetons de session sont généralement sûrs, et les attaques que des délais d’expiration de session courts peuvent empêcher sont rares. D’autres mesures, comme le chiffrement du disque et le verrouillage de l’ordinateur, peuvent offrir une sécurité plus efficace
  • De grandes entreprises comme Facebook, Google, Amazon et GitHub ont des sessions qui n’expirent pas, ce qui laisse penser qu’elles jugent ce risque acceptable

À lire aussi

1 commentaires

 
GN⁺ 2023-08-19
Avis Hacker News
  • Dans les applications bancaires et financières, l’expiration rapide des sessions est fréquente et peut se défendre en raison d’une base d’utilisateurs très large, de l’attrait pour des attaquants opportunistes et d’un usage dans des situations stressantes ou inhabituelles.
  • Lorsqu’il n’existe aucun backchannel fiable permettant à un fournisseur d’identité d’informer un service de l’expiration d’une session, des expirations courtes sont souvent utilisées pour compenser des standards d’authentification insuffisants.
  • Le risque lié à l’utilisation d’applications sur des appareils partagés est réel et, en particulier dans les environnements où les appareils sont partagés, comme en famille, l’expiration de session devrait être spécifique à l’application.
  • Certains utilisateurs soutiennent que les expirations de session courtes sont employées comme mesure de sécurité au détriment de l’utilisabilité, en prenant comme exemple les systèmes de self-checkout.
  • Les ordinateurs partagés sans séparation des utilisateurs existent bel et bien, et ils servent souvent à accéder à des applications web contenant des informations sensibles.
  • Cet article est critiqué pour ses hypothèses infondées et pour écarter les sessions courtes comme contrôle de sécurité sur la base de configurations d’utilisateurs finaux imaginaires.
  • Certains utilisateurs avancent que la décision de Google de ne pas utiliser de sessions courtes pourrait découler moins de préoccupations de sécurité que d’un désir de collecter davantage de données utilisateur à des fins publicitaires.
  • Les sessions courtes peuvent être hostiles aux utilisateurs et peu pratiques, surtout lorsqu’elles perturbent le flux de travail et imposent une réauthentification sans avertissement.
  • Certains utilisateurs préfèrent des délais de session plus longs et estiment que les délais courts sont inefficaces et ne servent qu’à satisfaire des tests de conformité de type case à cocher menés par des auditeurs et des pentesters.
  • Il existe une différence entre les limites de session souples, réinitialisées en fonction de l’activité de l’utilisateur, et les limites de session strictes, qui mettent fin à la session après une durée définie, quelle que soit l’activité de l’utilisateur.