O.Sess 4: Unterschied zwischen den Versionen
D.hack (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
D.hack (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
== Beschreibung == | == Beschreibung == | ||
[[Beschreibung:: | |||
Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Session-Identifier sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung (vgl. O.Auth_6 und O.Auth_7). | Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Session-Identifier sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung (vgl. O.Auth_6 und O.Auth_7). | ||
]] | |||
== Kurzfassung == | == Kurzfassung == | ||
[[Kurzfassung:: | |||
Löschen des Session-Identifiers zum Beenden der Anwendungssitzung. | Löschen des Session-Identifiers zum Beenden der Anwendungssitzung. | ||
]] | |||
== Testcharakteristik == | == Testcharakteristik == | ||
==== Prüftiefe ==== | ==== Prüftiefe ==== | ||
Zeile 20: | Zeile 21: | ||
<br /> | <br /> | ||
==== Ergänzende Informationen für Evaluatoren ==== | ==== Ergänzende Informationen für Evaluatoren ==== | ||
[[Anmerkungen:: | |||
Der Evaluator prüft, ob der Session-Identifier zum Beenden der Anwendungssitzung gelöscht wird. Hierzu testet er das Hintergrundsystem mit gültigen Abfragen, die den alten Session-Identifier enthalten. | Der Evaluator prüft, ob der Session-Identifier zum Beenden der Anwendungssitzung gelöscht wird. Hierzu testet er das Hintergrundsystem mit gültigen Abfragen, die den alten Session-Identifier enthalten. | ||
]] | |||
== Lösungsansätze == | == Lösungsansätze == | ||
Zeile 27: | Zeile 30: | ||
== Ressourcen und Einzelnachweise == | == Ressourcen und Einzelnachweise == | ||
[[Category:EXAMINE]] | [[Category:EXAMINE]] | ||
[[Category: Sess]] | [[Category: Sess]] |
Aktuelle Version vom 26. Juli 2024, 18:16 Uhr
Beschreibung
Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Session-Identifier sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung (vgl. O.Auth_6 und O.Auth_7).
Kurzfassung
Löschen des Session-Identifiers zum Beenden der Anwendungssitzung.
Testcharakteristik
Prüftiefe
Bezeichnung | Mindestanforderungen an die Prüfung |
---|---|
EXAMINE | Der Evaluator untersucht (englisch „examine“, analog zu Begriffsverwendung in der Common Criteria Evaluation Methodology) die betreffende Testcharakteristik. Der Evaluator MUSS in seiner Prüfung über die Mindestanforderungen für „CHECK“ hinausgehen: In der Regel wird dies durch umfassende Quelltextanalyse der relevanten Implementierungsanteile und Penetrationstests geschehen. Die Unterstützung durch den Hersteller kann genutzt werden. „EXAMINE“ erfordert in jedem Fall eine eigenständige Beurteilung durch den Evaluator. |
Ergänzende Informationen für Evaluatoren
Der Evaluator prüft, ob der Session-Identifier zum Beenden der Anwendungssitzung gelöscht wird. Hierzu testet er das Hintergrundsystem mit gültigen Abfragen, die den alten Session-Identifier enthalten.