本地会话超时机制

详细描述

移动设备经常丢失或被盗，攻击者可以利用活动的会话来访问敏感数据，执行事务或在设备所有者的帐户上执行侦察。 此外，如果没有适当的会话超时，应用可能容易受到中间人攻击的数据拦截。

建议

任何时间应用程序不使用超过5分钟，终止活动会话，将用户重定向到登录屏幕，确保没有应用程序数据可见，并要求用户重新输入登录凭据以访问 应用程序。

超时后，还要丢弃和清除与用户数据相关联的所有内存，包括用于解密数据的任何主密钥 (参考 2.5 在内存中安全的存储敏感数据)

此外，确保客户端和服务器端都发生会话超时，以减轻攻击者修改本地超时机制。

CWE/OWASP

• OWASP Mobile Top 10: M9 - Improper Session Handling
• CWE: CWE-613 - Insufficient Session Expiration