V3 セッション管理検証要件 のバックアップ(No.3)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- V3 セッション管理検証要件 へ行く。
- 1 (2020-07-17 (金) 12:54:52)
- 2 (2020-07-17 (金) 17:01:40)
- 3 (2020-07-26 (日) 14:53:22)
管理目標 †
ウェブベースのアプリケーションやステートフル API の中核となるコンポーネントの一つは、それと対話するユーザーやデバイスの状態を制御および保守するメカニズムです。セッション管理はステートレスプロトコルをステートフルに変更します。これはさまざまなユーザーやデバイスを区別するために重要です。
検証されるアプリケーションが以下の上位レベルのセッション管理要件を満たしていることを確認します。
セッションは各個人に固有のものであり、推測や共有することはできません。
セッションは不要になったときや非アクティブ期間内にタイムアウトしたときに無効になります。
前述のように、これらの要件は、一般的な脅威や一般的に悪用される認証脆弱性にフォーカスした、選択された NIST 800-63b コントロールの準拠サブセットとなるように適合されています。以前の検証要件は廃止、重複削除、またはほとんどの場合、必須の NIST 800-63b 要件の意図と厳密に一致するように調整されています。
セキュリティ検証要件
V3.1 基本的なセッション管理要件