檢測基準中有一測項 4.1.4.2.1,其技術要求為:「行動應用程式應避免使用具有規則性的交談識別碼。」
根據基準中的名詞定義,交談識別碼(Session Identification, Session ID) 是指在建立連線時指派給該連線的識別碼,並作為連線期間的唯一識別碼;當連線結束後,該識別碼可被釋放並重新指派給新的連線。
由此可知,交談識別碼的用途在於區分不同使用者的連線,因此,即便是同一使用者,當其登出後再次登入時,所取得的交談識別碼也應與前次登入時取得的值不同。
檢測人員若要確認交談識別碼是否具有規則性,需在 App 登入的情況下攔截其傳輸內容,以取得交談識別碼的值(圖 1)。首先,交談識別碼的長度須符合 128 bit 以上 的要求,此外,若其值與帳號、密碼及登入時間無關,則可視為不具規則性。此項要求的目的在於避免交談識別碼的值被輕易推測,否則可能遭有心人士利用,導致資安風險。
▲ 圖 1
檢測基準中有一測項 4.1.4.2.1,其技術要求為:「行動應用程式應避免使用具有規則性的交談識別碼。」
根據基準中的名詞定義,交談識別碼(Session Identification, Session ID) 是指在建立連線時指派給該連線的識別碼,並作為連線期間的唯一識別碼;當連線結束後,該識別碼可被釋放並重新指派給新的連線。
由此可知,交談識別碼的用途在於區分不同使用者的連線,因此,即便是同一使用者,當其登出後再次登入時,所取得的交談識別碼也應與前次登入時取得的值不同。
檢測人員若要確認交談識別碼是否具有規則性,需在 App 登入的情況下攔截其傳輸內容,以取得交談識別碼的值(圖 1)。首先,交談識別碼的長度須符合 128 bit 以上 的要求,此外,若其值與帳號、密碼及登入時間無關,則可視為不具規則性。此項要求的目的在於避免交談識別碼的值被輕易推測,否則可能遭有心人士利用,導致資安風險。
▲ 圖 1
近期文章