Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0]

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Die Eigenschaft glide.active.session.timeout.invalidate.session steuert, ob eine Timeout-Sitzung vor dem Tomcat-Server proaktiv für ungültig erklärt wird.

    Wenn glide.active.session.timeout.invalidate.session nicht auf „true“festgelegt ist, kann es ein kurzes Zeitintervall geben, in dem eine Sitzung mit Zeitüberschreitung nicht für ungültig erklärt wird (mindestens 60 Sekunden, abhängig von der Warteschlangengröße). Wenn eine Sitzung gekapert wird, kann ein Angreifer während dieses kurzen Zeitraums möglicherweise eine Sitzung verwenden. Um dieses Sicherheitsrisiko zu beheben, legen Sie glide.active.session.timeout.invalidate.session auf „true“fest.

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname glide.active.session.timeout.invalidate.session
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp boolean
    Empfohlener Wert wahr
    Standardwert falsch
    Kategorie Management von Anwendersitzungen
    Sicherheitsrisiko
    • Schweregrad-Punktzahl: 4,6
    • CVSS-Punktzahl: Mittel
    • Details zu Sicherheitsrisiken: Wenn Sie diese Eigenschaft nicht auf den empfohlenen Wert „wahr“ festlegen, kann dies dazu führen, dass eine Sitzung mit Zeitüberschreitung nicht validiert wird. Dies erhöht die Wahrscheinlichkeit, dass ein böswilliger Akteur eine Sitzung kapert.
    Abhängigkeiten und Voraussetzungen Keine