Invalidação proativa de sessões inativas

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • A propriedade glide.active.session.timeout.invalidate.session controla se uma sessão de tempo limite é invalidada proativamente antes do servidor Tomcat.

    Quando glide.active.session.timeout.invalidate.session não está definido como verdadeiro, pode haver um pequeno intervalo de tempo em que uma sessão com tempo limite não é invalidada (60 segundos ou mais, dependendo do tamanho da fila). Se uma sessão for sequestrada, o invasor poderá usá-la durante esse pequeno período de tempo. Para corrigir este risco de segurança, defina glide.active.session.timeout.invalidate.session como verdadeiro.

    Mais informações

    Atributo Descrição
    Nome da configuração glide.active.session.timeout.invalidate.session
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados booliano
    Valor recomendado verdadeiro
    Valor-padrão falso
    Categoria Session Management
    Risco à segurança
    • Pontuação de gravidade: 4,6
    • Pontuação do CVSS: média
    • Detalhes do risco de segurança: não definir esta propriedade com o valor recomendado verdadeiro pode fazer com que uma sessão com tempo limite esgotado não seja validada. Isso aumenta as chances de um agente mal-intencionado sequestrar uma sessão.
    Dependências e pré-requisitos Nenhum