एकाच वेळी अनेक लॉगिन सुरक्षा (Concurrent Login Security)

अमर्याद लॉगिनमुळे गंभीर बिझनेस लॉजिकमधील त्रुटी लपल्या जाऊ शकतात.

एक वापरकर्ता लॅपटॉपवर लॉगिन करतो. काही सेकंदातच, त्याच खात्यातून दुसऱ्या ब्राउझरवर लॉगिन केले जाते. त्यानंतर मोबाईल डिव्हाइसवर आणि मग API क्लायंटवर. सर्व काही अगदी व्यवस्थित चालते.

हे ठीक वाटते कारण अनेक ॲप्स एकाधिक डिव्हाइसेसना सपोर्ट करतात. पण तुम्हाला स्वतःला विचारले पाहिजे: प्रत्येक ॲप्लिकेशनने अमर्याद सेशन्सना परवानगी दिली पाहिजे का?

काही सिस्टममध्ये, मल्टिपल सेशन्स हे एक वैशिष्ट्य (feature) असते. इतरांमध्ये, ही एक त्रुटी असते ज्याचा वापर हल्लेखोर स्वतःला लपवून ठेवण्यासाठी करतात. ही एक बिझनेस लॉजिक व्हल्नरेबिलिटी (vulnerability) आहे. कोड डिझाइननुसार काम करतो, परंतु डिझाइनच कमकुवत असते.

फरक: • पारंपारिक बग्स (Traditional bugs) कोडिंगमधील चुकांचा फायदा घेतात. • बिझनेस लॉजिक बग्स डिझाइनच्या निर्णयांचा फायदा घेतात.

एखाद्या मूव्ही स्ट्रीमिंग सर्व्हिसचा विचार करा. जर एका सबस्क्रिप्शनमुळे दहा लोकांना एकाच वेळी पाहण्याची परवानगी मिळत असेल, तर लॉगिन सिस्टम व्यवस्थित काम करत आहे, पण बिझनेस रूल (business rule) अयशस्वी ठरत आहे.

हे बँकिंग, ॲडमिन पॅनल्स आणि SaaS उत्पादनांना लागू होते.

याची चाचणी कशी करावी:

उच्च-सुरक्षा ॲप्स अनेकदा या नियमांची अंमलबजावणी करतात:

जर एखाद्या हल्लेखोराने क्रेडेंशियल्स चोरले, तर तुम्ही अमर्याद सेशन्सना परवानगी दिली असल्यास ते कायमस्वरूपी लॉगिन राहू शकतात. खरा वापरकर्ता सक्रिय असताना ते देखील सक्रिय राहतात. दोघांपैकी कोणालाही घुसखोराची जाणीव होत नाही.

संदर्भ सर्व काही आहे. ज्या ॲप्सना अनेक सेशन्सची आवश्यकता असते:

ज्या ॲप्सना कडक नियंत्रणाची आवश्यकता असते:

हे कसे सुधारावे:

फक्त SQL इंजेक्शन सारख्या कोड बग्सच्या शोधात राहू नका. तुमचे ॲप जे करते आणि तुमच्या व्यवसायाला ज्याची आवश्यकता आहे, यामधील तफावत शोधा.

आजच तुमच्या सेशन पॉलिसीचा आढावा घ्या. तुमचा सर्वात मोठा धोका तुटलेला कोड नसेल, तर तो बिघडलेले लॉजिक असू शकतो.

Source: https://dev.to/arashad_dodhiya_0e4bdba5a/concurrent-login-security-how-to-check-whether-multiple-sessions-are-allowed-1839