SEC_006_TIMEOUT_REAUTH_NO_DATA_LOSS: Timeout und Reauth verlieren keine Eingaben
Severity: must. Bereich: security.
Regel
Bei Session-Timeout oder sensibler Aktion MUSS Reauth per Magic Code oder gleichwertigem Verfahren ohne Verlust nicht gespeicherter Formulardaten moeglich sein.
Reflection-Check
check:
reflect:
fields:
- magic_code_ttl_minutes
- preserves_unsaved_data
- returns_to_original_action
object: reauth_flowEvidence
- OWASP_AUTH, OWASP Authentication Cheat Sheet
- OWASP_SESSION, OWASP Session Management Cheat Sheet
- LOCAL_GUI_RULES, Lokale GUI YAML Libraries