Invalidação proativa de sessões inativas [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0]

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • A propriedade glide.active.session.timeout.invalidate.session controla se uma sessão expirada é invalidada proativamente antes do servidor do Tomcat.

    Quando glide.active.session.timeout.invalidate.session não está definida como verdadeira, pode haver um pequeno intervalo de tempo em que uma sessão expirada não é invalidada (60 segundos ou mais, dependendo do tamanho da fila). Se uma sessão for sequestrada, o invasor poderá usá-la durante esse pequeno período de tempo. Para corrigir este risco de segurança, defina glide.active.session.timeout.invalidate.session como verdadeiro.

    Mais informações

    Atributo Descrição
    Nome da configuração glide.active.session.timeout.invalidate.session
    Tipo de configuração Propriedades do sistema (/sys_properties_list.do)
    Tipo de dados booliano
    Valor recomendado verdadeiro
    Valor-padrão falso
    Categoria Gestão de sessões
    Risco à segurança
    • Pontuação de gravidade: 4,6
    • Pontuação do CVSS: média
    • Detalhes do risco à segurança: não definir essa propriedade com o valor recomendado de "verdadeiro" pode fazer com que uma sessão expirada seja invalidada. Isso aumenta as chances de um agente mal-intencionado sequestrar uma sessão.
    Dependências e pré-requisitos Nenhum