سیستم BPMS فراگستر از بعد امنیتی معیارهای مختلفی را پاس نموده است. لذا در سلسله مقالاتی در نظر داریم به ابعاد مختلف امنیتی BPMS فراگستر بپردازیم. در این مقاله به معیارهای موجود در حوزه مدیریت نشست اشاره خواهد شد که سیستم مدیریت فرایندهای فراگستر آنها را پوشش میدهد.
مدیریت نشست به چه معنی است؟
پروتکل HTTP نمیتواند درخواستهای متوالی یک کاربر را به هم مربوط سازد [۱] . بنابراین برای تشخیص درخواستهای متوالی یک کاربر نیازمند تعریف راهکارهایی هستیم، به این راهکارها مدیریت نشست میگوییم. در قسمت مدیریت نشست نیازمندیهای امنیتی مورد نیاز برای جلوگیری از آسیبپذیریهای معمول در این حوزه تشریح میشوند.
BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:
- حفاظت از نشستها هنگام انتقال برروی شبکه: نشستها هنگام انتقال روی شبکه باید بصورت رمز شده باشند.
- نتخاب شناسهی نشست: شناسهی نشستها باید بگونه ای باشد که قابل حدس زدن نباشد.
- تاریخ مصرف داشتن: در صورتیکه کاربر در یک زمان مشخص غیر فعال بود، نشست باید بطور خود کار منقضی شود. بعد از منقضی شدن نشست، کاربر مجدد باید تصدیق هویت شود.
- تنظیم مکان ذخیرهی وضعیت نشستها: برنامهی کاربردی باید راهکار تنظیم مکان ذخیرهی نشست را از طریق واسطههائی در اختیار مدیر سیستم قرار دهد.
- ذخیرهی اطلاعات حساس در کوکی های ماندگار: اطلاعات حساس نباید در کوکی های ماندگارذخیره شود. ملاحظه: در سطوح طبقه بندی خیلی محرمانه نباید از کوکی های ماندگار استفاده شود.
- زمان انقضای نشست: برنامهی کاربردی باید راهکار تنظیم زمان غیرفعال بودن کاربر برای منقضی کردن نشست را از طریق واسطهائی در اختیار مدیر سیستم قرار دهد.
- قابلیت Log Out: برنامهی کاربردی باید بتواند فرمان پایان نشست را بطور صریح صادر کند.
- رمزنگاری محتویات کوکی های تصدیق هویت: برنامهی کاربردی باید محتویات کوکی های تصدیق هویت را رمزنگاری کنند.
- عدم انتقال شناسههای نشست از طریق Query Stringها: شناسههای نشست نباید از طریق Query Stringهای URL انتقال یابد.
————————————–
۱ اصطلاحاً به این خاصیت پروتکل، Stateless بودن آن گفته میشود.
۲- Session Management
سری مقالات امنیت در BPMS فراگستر:
