#author("2020-07-17T17:01:40+09:00","","")
[[OWASP ASVS 4.0]]
*管理目標 [#s3c904b4]
ウェブベースのアプリケーションやステートフル API の中核となるコンポーネントの一つは、それと対話するユーザーやデバイスの状態を制御および保守するメカニズムです。セッション管理はステートレスプロトコルをステートフルに変更します。これはさまざまなユーザーやデバイスを区別するために重要です。~
検証されるアプリケーションが以下の上位レベルのセッション管理要件を満たしていることを確認します。~
セッションは各個人に固有のものであり、推測や共有することはできません。
セッションは不要になったときや非アクティブ期間内にタイムアウトしたときに無効になります。~
前述のように、これらの要件は、一般的な脅威や一般的に悪用される認証脆弱性にフォーカスした、選択された NIST 800-63b コントロールの準拠サブセットとなるように適合されています。以前の検証要件は廃止、重複削除、またはほとんどの場合、必須の NIST 800-63b 要件の意図と厳密に一致するように調整されています。
