Вы находитесь здесь:
API (Включить параметры OAuth): Настройка маркера кода
Этот параметр безопасности определяет криптографический срок действия и структуру данных маркера кода OpenID Connect.
Управление именем
Связанные приложения: API (Включить параметры OAuth): Настройка маркера кода
Рекомендованная конфигурация
Настройка маркера кода - Продолжительность маркера в минутах (2 минуты) | Аудитории маркера кода | Добавление стандартных претензий | Добавление настраиваемых полномочий | Настраиваемые атрибуты.
Общие сведения о контроле
Этот параметр безопасности определяет криптографический срок действия и структуру данных маркера кода OpenID Connect, указывая интервал истечения срока действия, идентификаторы целевой аудитории и добавление определенных метаданных уровня пользователя.
Риск безопасности, если он не настроен
Слабая продолжительность маркера кода и неправильно управляемые атрибуты для сеансов приложения приводят к увеличению риска кражи удостоверений, когда устаревшие маркеры, содержащие конфиденциальные идентификаторы пользователя, остаются действительными для несанкционированного повторного использования.
Сценарии угроз
Злоумышленник перехватывает маркер кода долгожителя и извлекает постоянные метаданные пользователя или использует активный сеанс, чтобы выдать себя за жертву в нескольких интегрированных системах в нисходящем направлении, имеющих одно и то же утверждение аудитории.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Отказ от внедрения жизненных циклов коротких маркеров и ограниченных наборов атрибутов упрощает несанкционированный сбор персональных идентификаторов и повышает вероятность успешных атак повтора на уровень организационной идентификации.
Повышенный риск при
Если маркер кода содержит широкие настраиваемые атрибуты, содержащие конфиденциальную бизнес-логику, или если претензия аудитории установлена на глобальное значение, позволяющее принимать маркеры нежелательным внешним поставщикам услуг.
Низкий риск при
Если организация применяет минимальное двухминутное окно истечения срока действия и использует уникальные идентификаторы аудитории для обеспечения криптографической привязки маркеров к одному проверенному клиенту.
Рекомендации по бизнесу и интеграции
Внедрение политик ограничительных маркеров кодов обеспечивает соответствие регламентам о конфиденциальности данных, минимизируя передачу ненужных данных пользователей, хотя это требует поддержки частого цикла обновления маркеров приложением-потребителем.
Рекомендованное исправление
Перейдите в политики OAuth для связанного приложения, задайте срок действия маркера кода два минуты, определите аудитории маркера кода и выберите только необходимые стандартные и настраиваемые утверждения.
Руководство по проверке состояния безопасности
Обзор состояния безопасности определяет использование краткосрочных маркеров кодов с ограничениями претензий в качестве настоятельно рекомендуемого стандарта для минимизации возможности неправильного использования регистрационных данных и предотвращения открытия постоянных метаданных пользователей.
