Ti trovi qui:
Gestione delle policy di sessione per un'applicazione connessa: Controllo timeout sessione
Questo controllo definisce la durata massima in cui una sessione dell'applicazione può rimanere inattiva prima della scadenza del token di accesso e dell'utente o del sistema che deve eseguire nuovamente l'autenticazione o utilizzare un token di aggiornamento.
Nome controllo
Applicazioni connesse: Gestione delle policy di sessione per un'applicazione connessa: Timeout di sessione
Configurazione consigliata
Valore timeout: selezionare "1hour".
Panoramica sul controllo
Questo controllo definisce la durata massima in cui una sessione dell'applicazione può rimanere inattiva prima della scadenza del token di accesso e dell'utente o del sistema che deve eseguire nuovamente l'autenticazione o utilizzare un token di aggiornamento.
Rischio per la sicurezza se non configurato
I valori di timeout lunghi o indefiniti lasciano le sessioni attive su dispositivi o server, aumentando in modo significativo la finestra di opportunità per un utente non autorizzato di dirottare una workstation incustodita o un dispositivo mobile compromesso.
Scenari di minaccia
Un dipendente lascia il tablet in un'area pubblica o una sessione viene intercettata tramite un attacco basato su browser, consentendo a un avversario di continuare ad accedere ai dati sensibili per ore o giorni perché la sessione non è mai scaduta.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
Una durata eccessiva delle sessioni facilita l'esposizione prolungata dei dati non autorizzati e complica la risposta agli incidenti, poiché un token rubato rimane una chiave "live" per l'ambiente per un periodo prolungato.
Rischio maggiore quando
"Forza la disconnessione al timeout della sessione" è disabilitata o quando l'app viene utilizzata su dispositivi condivisi, pubblici o non gestiti in cui la sicurezza fisica non è garantita.
Basso rischio quando
L'app è abbinata ai requisiti MFA High Assurance e alle policy di accesso con restrizioni IP che impediscono lo spostamento di una sessione dirottata su una rete diversa.
Considerazioni su Business e integrazione
L'impostazione di un timeout di 1 ora può influire sull'esperienza dell'utente causando interruzioni più frequenti della sessione e richiedendo agli sviluppatori di assicurarsi che l'applicazione possa gestire senza problemi gli aggiornamenti dei token in background senza ostacolare l'utente.
Rimedio consigliato
Accedere alle policy OAuth dell'applicazione connessa, individuare l'elenco a discesa Valore timeout e selezionare "1 ora" per imporre una chiusura più rigorosa della sessione.
Guida all'esame dello stato della sicurezza
Security Health Review identifica un timeout di sessione di 1 ora come base di riferimento per la "persistenza dei privilegi minimi", in modo che l'accesso venga spesso convalidato nuovamente per mantenere un comportamento di massima sicurezza.
