如何在Azure门户中配置会话超时?
我们已经使用Azure近5年了,我们非常关注安全性。
我真的不明白的一件事是为什么Azure门户中没有会话超时(例如,在30分钟不活动后自动注销)。如您所知,如果您有权访问门户网站you can delete everything with a click of a button。
我始终以Chrome隐身模式启动Portal,并使用两步身份验证登录。有时我会忘记关闭浏览器,几天后我恢复笔记本电脑时,我只需要按F5,然后我就可以访问所有内容。更糟糕的是......如果您只是离开门户网站并在几天之后重新访问它,那么您仍然可以登录。
是否可以配置会话超时,以确保会话不会永久存在?
3 个答案:
答案 0 :(得分:0)
首先询问攻击向量是什么?
如果有人可以来并恢复你的会话,他们可以造成更多的伤害。如果攻击者可以访问您的计算机解锁,他们可以做很多事情。例如,他们可以安装一个修改过的浏览器,将所有内容键盘并发送给他们。或者更糟糕的是,他们可以执行Man In The Browser Attack。会话到期时间极少,因为他们下次登录时会获得访问权限。
如果您使用共享计算机,则会发生相同的攻击。</ p>
在绝大多数情况下,短暂的超时只能帮助极端原始的攻击者。一般来说,用户体验的痛苦远远超过任何可能的安全利益。
这就是为什么大多数非银行系统已经远离短期会话超时......
答案 1 :(得分:0)
我不确定在您执行此操作时该功能是否不可用,但是有一种方法可以进行“非活动注销”。
答案 2 :(得分:0)
Azure门户中的租户/目录管理员现在可以使用此选项。 单击门户网站设置(齿轮)图标,然后单击“配置目录级别超时”。启用该功能,设置时间跨度(小时和分钟),然后单击“应用”。 配置完成后,更改将在注销/登录后生效,并且租户的所有用户将在门户设置窗格中看到一条消息。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?