Masa kedaluwarsa sesi yang singkat tidak membantu keamanan

 (sjoerdlangkemper.nl)
12 poin oleh GN⁺ 2023-08-19 | 1 komentar | Bagikan ke WhatsApp
  • Aplikasi web umumnya mengakhiri sesi setelah waktu tetap atau periode ketidakaktifan pengguna, dan saran keamanan saat ini mengusulkan batas waktu sesi yang singkat (short session expiration)
  • Namun, banyak aplikasi web populer seperti Gmail dan GitHub tidak mengikuti praktik ini, sehingga menimbulkan pertanyaan apakah batas waktu sesi yang singkat benar-benar efektif untuk meningkatkan keamanan
  • Model ancaman yang dipertimbangkan mencakup penyerang yang mendapatkan akses tidak sah ke sesi aktif pengguna melalui berbagai cara, seperti mencuri cookie sesi, mengeksploitasi kerentanan session fixation, atau menggunakan perangkat yang sama dengan korban
  • Saat membahas skenario di mana batas waktu sesi yang singkat bisa bermanfaat, contohnya adalah penyerang yang menemukan token sesi lama di log atau di komputer yang dicuri, tetapi ini adalah argumen untuk batas waktu sesi secara umum, bukan khusus untuk yang singkat
  • Masalah komputer publik bersama sebagian besar tidak realistis untuk kebanyakan aplikasi web, dan penyerang yang dapat mengakses perangkat yang tidak terkunci tidak memerlukan sesi aktif karena bisa membuat sesi baru untuk mengatasinya
  • Artinya, sesi yang singkat dapat memiliki kekurangan baik bagi pengalaman pengguna maupun keamanan, dan keharusan untuk sering melakukan autentikasi ulang dapat mendorong pengguna mengadopsi praktik yang kurang aman
  • Kesimpulannya, token sesi umumnya aman, dan serangan yang dapat dicegah dengan batas waktu sesi yang singkat jarang terjadi. Enkripsi disk dan penguncian komputer dapat memberikan keamanan yang lebih efektif
  • Perusahaan besar seperti Facebook, Google, Amazon, dan GitHub memiliki sesi yang tidak kedaluwarsa, sehingga tampaknya mereka menilai risiko ini dapat diterima

Bacaan terkait

1 komentar

 
GN⁺ 2023-08-19
Komentar Hacker News
  • Di aplikasi perbankan dan keuangan, masa berlaku sesi yang singkat adalah hal yang umum, dan ini dapat dibenarkan karena basis pengguna yang luas, daya tarik bagi penyerang oportunistis, serta penggunaan saat pengguna sedang stres atau dalam situasi tidak normal.
  • Jika tidak ada backchannel tepercaya sehingga penyedia identitas tidak dapat memberi tahu layanan tentang berakhirnya sesi, masa berlaku sesi yang singkat sering digunakan untuk menutupi kekurangan standar autentikasi.
  • Ancaman penggunaan aplikasi pada perangkat bersama memang nyata, dan terutama di lingkungan tempat perangkat dibagi pakai, seperti dalam keluarga, kedaluwarsa sesi harus bersifat spesifik per aplikasi.
  • Sebagian pengguna berpendapat bahwa masa berlaku sesi yang singkat digunakan sebagai langkah keamanan dengan mengorbankan kegunaan, dan mereka mencontohkan sistem pembayaran mandiri.
  • Komputer bersama tanpa pemisahan pengguna adalah kenyataan, dan perangkat seperti ini sering digunakan untuk mengakses aplikasi web yang menyimpan informasi sensitif.
  • Artikel ini dikritik karena membuat asumsi yang tidak berdasar dan karena menyingkirkan sesi singkat sebagai kontrol keamanan berdasarkan pengaturan pengguna akhir yang imajiner.
  • Sebagian pengguna berpendapat bahwa keputusan Google untuk tidak menggunakan sesi singkat mungkin lebih berasal dari keinginan mengumpulkan lebih banyak data pengguna untuk iklan daripada dari kekhawatiran keamanan.
  • Sesi singkat bisa terasa memusuhi pengguna dan tidak nyaman, terutama ketika mengganggu alur kerja dan meminta autentikasi ulang tanpa peringatan.
  • Sebagian pengguna lebih menyukai batas waktu sesi yang lebih panjang, dan berpendapat bahwa batas waktu sesi yang singkat tidak efektif serta hanya digunakan untuk memenuhi uji checklist oleh auditor dan pentester.
  • Ada perbedaan antara batas waktu sesi lunak yang direset berdasarkan aktivitas pengguna dan batas waktu sesi keras yang mengakhiri sesi setelah jangka waktu tertentu terlepas dari aktivitas pengguna.