امنیت در BPMS فراگستر – مدیریت نشست

سیستم BPMS فراگستر از بعد امنیتی معیارهای مختلفی را پاس نموده است. لذا در سلسله مقالاتی در نظر داریم به ابعاد مختلف امنیتی BPMS فراگستر بپردازیم. در این مقاله به معیارهای موجود در حوزه مدیریت نشست اشاره خواهد شد که سیستم مدیریت فرایندهای فراگستر آنها را پوشش میدهد.

مدیریت نشست به چه معنی است؟

پروتکل HTTP نمی‌تواند درخواست‌های متوالی یک کاربر را به هم مربوط سازد [۱] . بنابراین برای تشخیص درخواست‌های متوالی یک کاربر نیازمند تعریف راه‌کارهایی هستیم، به این راه‌کارها مدیریت نشست می‌گوییم. در قسمت مدیریت نشست نیازمندی‌های امنیتی مورد نیاز برای جلوگیری از آسیب‌پذیری‌های معمول در این حوزه تشریح می‌شوند.

BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:

• حفاظت از نشست‌ها هنگام انتقال برروی شبکه: نشست‌ها هنگام انتقال روی شبکه باید بصورت رمز شده باشند.
• نتخاب شناسه‌ی نشست: شناسه‌ی نشست‌ها باید بگونه ای باشد که قابل حدس زدن نباشد.
• تاریخ مصرف داشتن: در صورتیکه کاربر در یک زمان مشخص غیر فعال بود، نشست باید بطور خود کار منقضی شود. بعد از منقضی شدن نشست، کاربر مجدد باید تصدیق هویت شود.
• تنظیم‌ مکان ذخیره‌ی وضعیت نشست‌ها: برنامه‌ی کاربردی باید راهکار تنظیم مکان ذخیره‌ی نشست را از طریق واسطه‌هائی در اختیار مدیر سیستم قرار دهد.
• ذخیره‌ی اطلاعات حساس در کوکی های ماندگار: اطلاعات حساس نباید در کوکی های ماندگارذخیره شود. ملاحظه: در سطوح طبقه بندی خیلی محرمانه نباید از کوکی های ماندگار استفاده شود.
• زمان انقضای نشست: برنامه‌ی کاربردی باید راهکار تنظیم زمان غیرفعال بودن کاربر برای منقضی کردن نشست را از طریق واسط‌هائی در اختیار مدیر سیستم قرار دهد.
• قابلیت Log Out: برنامه‌ی کاربردی باید بتواند فرمان پایان نشست را بطور صریح صادر کند.
• رمزنگاری محتویات کوکی های تصدیق هویت: برنامه‌ی کاربردی باید محتویات کوکی های تصدیق هویت را رمزنگاری کنند.
• عدم انتقال شناسه‌های نشست از طریق Query Stringها: شناسه‌های نشست نباید از طریق Query Stringهای URL انتقال یابد.

————————————–

۱  اصطلاحاً به این خاصیت پروتکل،  Stateless بودن آن گفته می‌شود.

۲- Session Management