Да приемем, че става въпрос за web базирана поща. Първо ще разясня какъв е механизма на работа.
Когато се влезе в пощата .сървърът получава името и паролата ти. Когато сървъра върне страница (вие успешно влязохте във вашата поща бля бля бля …) той казва на браузъра ти да запише бисквитка, в която има един специален номер, наречен номер на сесия. Чрез сесията сървъра помни кой си, знае какви писма да ти покаже и т. н. без да е необходимо да изпращаш всеки път име и парола. Всеки път скрито от потребителя се изпраща този специален номер, записан в бисквитката.
Ако по някаква причина този номер бъде изтрит от бисквитката, или самата бисквитка бъде изтрита, сървъра престава да ни разпознава и ще ни поиска пак име и парола.
Другият вариант е самият сървър да реши че с този номер на сесия прекалено дълго е било работено, да го „анулира” и да поиска име и парола за да се поднови сесията ( и ще се генерира друг номер)
-----------------------------------------------
Какво става когато се натисне „Изход” – сървърът просто унищожава сесията и номерът престава да бъде валиден, колкото и пъти да му го изпращаме. Към този номер сървърът вече не свързва нашето име и парола.
Какво става когато се натисне X-a? Понеже страницата е затворена изведнъж, сървърът не знае че това е станало и сесията остава активна. Т. е. някой ако използва същият номер на сесия, може да продължи да работи с отворената поща. Но това трябва да стане в рамките на стандартната валидност на сесията, която е различна за различните сървъри. Обикновено е към час – два.
-----------------------------------------------
Какви са опасностите?
- Може някой да подслушва трафика (ако е некриптиран) и да види номера на сесията и да го използва по същото време, докато работиш с пощата си. Малко вероятно е това да се случи. Мерки за защита – да се използва криптирания протокол https.
- Може някой след теб да седне на компютъра да отвори браузъра и да поднови сесията. Това всъщност е най лесно. За домашен компютър не е чак толкова болка за умиране (освен ако тъщата не ти е на гости и те дебне само да станеш от стола), но ако си в клуб или някъде на публично място …
Мерки за зашита:
- Да се излиза с „Изход” за да се унищожи сесията
- Да се нагласи браузъра да трие бисквитките и хронологията при изход (понякога номера на сесията се долепя до адреса на страницата, а не се съхранява в бисквитка). За домашен компютър неудобно, но за публичен си е направо задължително
- Ако има възможност в конкретната поща да се настрои времето за изтичане на сесия до възможния минимум, за да се ограничи времето, през което някой след тебе може да седне.
-
Дано да си разбрал нещо от всичките тия бъртвежи 
Някой ако има нещо да допълва, да казва. Въпросът е интересен и заслужава да се огледа.
Отговор
За печат
Коментар