2017-04-10

April 2017 - OWASP Top Ten - A2 Broken Authentication and Session Management

OWASP står för The Open Web Application Security Project och är en öppen global organisation som arbetar för säkerhet i mjukvaruapplikationer, främst webbapplikationer.
OWASP Top Ten listar de mest kritiska säkerhetsproblemen för webbapplikationer.

A2 Broken Authentication and Session Management

Sårbarheten handlar om inloggning och hur användardata hanteras.

Lösenord ska ha en minimilängd och krav på utformning för att förhindra att de blir för enkla. De vanligaste lösenord som används är: password, 123456, 12345678, 1234, qwerty. Se till att användare inte kan välja såna lösenord.
Inloggningsinformation ska ej heller skickas okrypterat. Skaffa alltså ett certifikat till din webbplats för att förhindra det. Det kostar en slant, men är värt det om man vill ha en säker webbplats. Det finns även åtminstone ett gratisalternativ som jag dock inte testat än: Let's Encrypt
Spara alla lösenord krypterade i databasen.

Varje användare får ett sessionsid på webbservern som används för att hålla koll på vem användaren är så att man inte behöver logga in på nytt på varje sida. I sessionen går det även att spara mycket annan känslig information. Det sessionsid:et ska skyddas noga eftersom om någon annan får tag i det så kan man utge sig för att vara den användaren som id:et tillhör eller komma åt den information som ligger i sessionen.
Ibland kan sessionsid:et läggas i URL:en för att göras tillgänglig för en annan webbsida. Gör inte det. Om sidan ligger kvar i webbläsarens historik eller om adressen mailas till någon annan så kan sessionen tas över av en annan person.
Även här är det viktigt att man skickar all trafik krypterat så ett certifikat behövs här också.
Sätt en lämplig timeout på alla sessioner så att om användaren glömmer att logga ut från en publik dator så kan ingen annan enkelt använda den användarens konto.
När användaren loggar in ska sessionen skapas om. Även oinloggade användare har sessioner, men de användarna är utanför vår kontroll så lita inte på såna sessioner.
När användaren loggar ut ska sessionen invalideras.


System och tjänster som uppdaterats sedan förra uppdateringen:
  • s02
    • Inget
  • s03
    • Inget