不过，AuthSub会话令牌永不过期;安全问题？

Question

我使用的GData的的AuthSub让我的管理应用程序并不需要存储用户名/密码信息。我刚来到文档中的地步，我学会了如何交流第一，单一使用凭证，用于会话令牌（的 http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken ）。然后这种说法我跳了出来：

  

可以忽略的到期日期，这是当前不使用;会话令牌有效不会过期。

会有人照顾解释非到期令牌怎么不是一个安全问题？什么是“有效期满未”究竟意味着什么？从理论上讲，如果一个恶意应用程序设法获得其中的一个标记，可以在继续，无论密码更改使用它？是否有可能看到会话令牌当前已经在谷歌帐户发出的？

总之，我的偏执已经站稳了脚跟，而且我需要一个大的聪明人来安慰我！

编辑：可以手动撤销在 https://www.google.com/accounts/IssuedAuthSubTokens令牌

Answer 1

是，实际上如果会话令牌永不过期它是一个漏洞由识别CWE-384 ，如果会话需要很长的时间到期，然后它是违反的 CWE-613 。这两个CWE网页给出了该漏洞的很好的解释。我不知道具体该应用，但通常会话令牌可用于而无需用户名/密码立即验证。