امنیت درBPMSفراگستر-مدیریت نشست
سیستم BPMS فراگستر از بعد امنیتی معیارهای مختلفی را پاس نموده است لذا در سلسله مقالاتی در نظر داریم به ابعاد مختلف امنیتی BPMS فراگستر بپردازیم. در این مقاله به معیارهای موجود در حوزه مدیریت نشست اشاره خواهد شد که سیستم BPMS فراگستر آنها را پوشش میدهد.
پروتکل HTTP نمیتواند درخواستهای متوالی یک کاربر را به هم مربوط سازد ۱ . بنابراین برای تشخیص درخواستهای متوالی یک کاربر نیازمند تعریف راهکارهایی هستیم، به این راهکارها مدیریت نشست میگوییم. در قسمت مدیریت نشست نیازمندیهای امنیتی مورد نیاز برای جلوگیری از آسیبپذیریهای معمول در این حوزه تشریح میشوند.
BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:
• حفاظت از نشستها هنگام انتقال برروی شبکه: نشستها هنگام انتقال روی شبکه باید بصورت رمز شده باشند.
• انتخاب شناسهی نشست: شناسهی نشستها باید بگونه ای باشد که قابل حدس زدن نباشد.
• تاریخ مصرف داشتن: در صورتیکه کاربر در یک زمان مشخص غیر فعال بود، نشست باید بطور خود کار منقضی شود. بعد از منقضی شدن نشست، کاربر مجدد باید تصدیق هویت شود.
• تنظیم مکان ذخیرهی وضعیت نشستها: برنامهی کاربردی باید راهکار تنظیم مکان ذخیرهی نشست را از طریق واسطههائی در اختیار مدیر سیستم قرار دهد.
• ذخیرهی اطلاعات حساس در کوکی های ماندگار: اطلاعات حساس نباید در کوکی های ماندگارذخیره شود. ملاحظه: در سطوح طبقه بندی خیلی محرمانه نباید از کوکی های ماندگار استفاده شود.
• زمان انقضای نشست: برنامهی کاربردی باید راهکار تنظیم زمان غیرفعال بودن کاربر برای منقضی کردن نشست را از طریق واسطهائی در اختیار مدیر سیستم قرار دهد.
• قابلیت Log Out: برنامهی کاربردی باید بتواند فرمان پایان نشست را بطور صریح صادر کند.
• رمزنگاری محتویات کوکی های تصدیق هویت: برنامهی کاربردی باید محتویات کوکی های تصدیق هویت را رمزنگاری کنند.
• عدم انتقال شناسههای نشست از طریق Query Stringها: شناسههای نشست نباید از طریق Query Stringهای URL انتقال یابد.
————————————–
۱ اصطلاحاً به این خاصیت پروتکل، Statelessبودن آن گفته میشود.
۲- Session Management
دیدگاه خود را ثبت کنید
Want to join the discussion?Feel free to contribute!