Sessiebeheer
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft een instandhoudingsproces voor het tot stand brengen, het onderhouden en het beëindigen van sessies van softwarepakketten.
Objecttoelichting
Na de authenticatie moet een sessiemanager-component vanuit de server acties van gebruikers op een veilige manier volgen. Hiervoor zijn bewezen raamwerken en bibliotheken beschikbaar. Meestal gebeurt dit met een beveiligde sessietoken. Deze token moet op een veilige manier worden gecreëerd en verlopen. Tokens mogen geen misleidbare of gevoelige informatie bevatten.
Schaalgrootte
Groot.
Voor wie
Leverancier.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Functie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is Grip op Secure Software Development SSD-12 en SSD-14
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
SWP_U.05.01 | Authentiek |
Softwarepakketten hergebruiken nooit sessie-tokens in URL-parameters of foutberichten. |
SWP_U.05.02 | Authentiek |
Softwarepakketten genereren alleen nieuwe sessies met een gebruikersauthenticatie. |
SWP_U.05.03 | Time-out |
Sessies hebben een specifiek einde en worden automatisch ongeldig gemaakt wanneer:
|