4

我正在使用 GData 的 AuthSub,以便我的管理应用程序不需要存储用户/密码信息。我刚刚在文档中了解到如何将第一个一次性令牌交换为会话令牌(http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken) . 然后这句话突然出现在我身上:

可以忽略失效日期,当前没有使用;会话令牌实际上不会过期。

有人愿意解释一下未过期的令牌如何不是安全问题吗?“有效不过期”的真正含义是什么?从理论上讲,如果恶意应用程序设法获得这些令牌之一,它是否可以继续使用它而不管密码是否更改?是否可以查看当前在 Google 帐户上发布了哪些会话令牌?

总之,我的妄想症已经占据了,我需要一个大聪明的人来安慰我!

编辑:您可以在https://www.google.com/accounts/IssuedAuthSubTokens手动撤销令牌

4

1 回答 1

1

是的,事实上,如果会话令牌永不过期,则它是CWE-384识别的漏洞,如果会话需要很长时间才能过期,则违反CWE-613。两个 CWE 页面都对漏洞进行了很好的解释。我不知道这个应用程序的细节,但通常可以使用会话令牌立即进行身份验证,而无需用户名/密码。

于 2010-01-20T19:11:12.917 回答