我真的需要注销webapps吗?

如果你在公共电脑上查看Facebook,关闭标签是否足够好?如果你在朋友的iPad上查看银行余额呢?敏感信息在线。Stack Exchange的信息安全专家将帮助您保持安全。...
Illustration for article titled Do I Really Need to Log Out of Webapps?

如果你在公共电脑上查看Facebook,关闭标签是否足够好?如果你在朋友的iPad上查看银行余额呢?敏感信息在线。Stack Exchange的信息安全专家将帮助您保持安全。

一个快速的谷歌搜索并不能揭示是否有必要注销webapps(网上银行,亚马逊,Facebook等),或者我是否安全关闭标签或浏览器。如果我没有正确地注销,我将面临哪些可能的威胁?

请参阅原始问题。

简短的回答(阿德南回答)

登录到web服务时,浏览器中会植入cookie。这个cookie有一个唯一的ID值,它在您使用web服务时标识您,并且可能在您稍后回来时标识您。如果这个识别码被盗,拥有它的人可能会像使用你的账户一样使用你的账户。注销通常会使此标识符对您和对手都无效。你们两个都不能用这个标识符告诉网络服务,“嗨,我是安吉洛·汉内斯。”这会产生一个不幸的副作用,迫使你再次输入用户名和密码登录。

那么,你该怎么办?那要看情况了。一些敏感的web服务(银行、**网站、保险公司等)的会话时间很短。其他敏感的web服务(比如你的email收件箱,它基本上控制着你所有的帐户)并不会经常使会话失效,但是它们应用了IP地址限制。如果使用来自不同IP地址的同一会话,则该会话将无效。

热释光;博士:

  • 公共电脑,特别偏执,你认为你的会话被破坏了,还是你真的关心这个服务?注销。
  • 私人电脑,你认为你的会话是安全的,你真的不关心这个服务吗?保持登录状态是可以的。

使用服务中的已知问题(例如,不使用HTTPS)或某些零日漏洞(例如,服务中新发现的XSS攻击、浏览器中泄露cookie信息的新漏洞或正在使用的计算机上安装的窃取会话信息的恶意软件)可以窃取会话,在这种情况下,它已经窃取了您的用户名和密码)。

Illustration for article titled Do I Really Need to Log Out of Webapps?

冗长的回答♦)

  • 如果您使用的是公用计算机:注销。您保留帐户的任何服务都不应留在可公开访问的计算机上登录。
  • 如果您使用的是一个无关紧要的非敏感服务:保持登录。这只适用于一次性的临时账户,如互联网广播,在那里,泄露访问权限只会造成麻烦。
  • If you're using public wifi: log out. Since the network is inherently untrusted, there is one big obvious threat: session cookie theft. It's possible that your session was hijacked, and someone—either someone else on the network, or the hotspot itself—stole your session cookie. If this was the case, you wouldn't know, but then you may not be able to really log out either. (If it's a malicious network or MITM, they have control of your entire connection—they might simply drop your logout request.) That said, third-party theft of just your session cookie is a valid threat, and explicit logging out prevents unlimited use. (Basically the damage may have been done already, but this stops it from continuing.) Even better would be to go to a trusted network, login, and explicitly log back out, just in case the MITM blocked your logout. Better yet is to change your password on the trusted site. But best to never access a non-trivial, sensitive site from an untrusted network.
  • 如果您使用全天应用程序:保持登录。对于那些你整天都在使用并且想要快速/方便访问的服务,比如Facebook、email等,在你自己的私人(或工作)计算机上的可信网络上,让你的浏览器长期登录是明智的选择。每次你离开的时候都要锁上你的电脑,甚至是为了喝杯咖啡。或者锁上你的办公室,如果你有一扇其他人无法通过的实体门(或者有一个家庭办公室,哇!)定期注销并重新登录。监视“你”发的任何帖子。
  • 如果您正在使用任何使用HTTP基本身份验证的应用程序(例如,许多路由器):注销并关闭所有浏览器选项卡。这里是有趣的地方,这也适用于下一节。当您使用basic auth登录到webapp时,浏览器会缓存您的密码,并在每次请求时发送密码。浏览器的基本身份验证机制没有会话的概念。即使您多次注销,webapp也无法在服务器端和客户端终止会话。清除这些缓存凭据的唯一方法是终止“浏览器进程”
  • 然而,您对浏览器的选择对“浏览器进程”这个概念很重要
  • Firefox:总是一个进程,不管你打开了多少个标签和窗口。
  • Chrome:每个选项卡都是一个单独的进程。但是,还有另一个全局父进程。所有tab进程都是这个进程的子进程(Windows术语中称为“作业进程”),它们都通过父进程共享进程内存。如果您打开一个新窗口,这也是正确的。因此,尽管Chrome大量使用了具有共享父进程的子进程,使得它的选项卡特别生动和健壮,但缺点是共享进程状态。换句话说,从Chrome中删除缓存的BasicAuth凭据的唯一方法是关闭所有Chrome窗口。单靠关闭选项卡是无济于事的。
  • Internet Explorer:选项卡/进程模型与Chrome相同(或类似),只有一个例外。默认情况下,IE还会打开父进程的子进程中的所有选项卡。但是,如果您将NoFrameMerging添加到IE命令行,它将创建一个全新的IE父进程。不同之处在于,您可以创建一个新的父窗口来登录到路由器,然后在完成后关闭该窗口。这将清除BasicAuth缓存,而不接触任何其他打开的IE窗口(旁注:这实际上是可以做到这一点与铬太!不过,它涉及的内容要多得多,需要您在计算机上创建另一个浏览器配置文件。)
  • 如果您使用的是敏感应用程序:请始终明确注销并关闭所有浏览器选项卡。这一部分稍微复杂一些,但是上面已经讨论了很多依赖项。锁定你的电脑,如上所述,是有意义的;然而,没有必要从以前取舍。注销就行了。此外,最敏感的应用程序应该实现某种形式的自动空闲超时,因此如果你下午出去,你的会话将在某个时候自动终止。这可能无助于这种威胁,因为恶意的旁观者可能只是跳上你的电脑,如果你走出4 1/2分钟,以补充你的咖啡。
  • Another threat is session cookie theft. Hopefully, sensitive apps are actively preventing this with HTTPS, IDS, geo/fraud detection, etc. That said, it still makes sense to close that "window of opportunity," just in case. As before, most sensitive apps should implement some form of automatic idle timeout, and will help minimize this threat too. However, even if you do know for a fact that this app does implement idle timeouts correctly, there is still a window of opportunity for the attacker. That said, in a relatively-secure app this isn't much of a threat.
  • Cross Site Request Forgery (CSRF) is the threat you need to worry about. Say you're logged in to your bank. In the same window, in a different tab, you are browsing some dubious website. While viewing this website, it might be surreptitiously testing various well-known bank sites to see if you happen to be logged in to one of them. If you are, it will mount the CSRF attack (not all bank sites are vulnerable to this, but many still are). CSRF'd!
  • Okay. Now say you are **arter than that other guy, and don't browse suspicious sites the same time your bank site is open. So, after you finish on your bank, you carefully close the tab. Only then do you open a new tab to browse to the dodgy site. Well, problem is, you're still logged in, and will be for awhile—typically around 30 minutes, but it could be as little as 10 or as much as an hour. CSRF'd! (Note that the session timeout here does help, by shortening the window of opportunity, but there is still a chance of this happening within the window.)
  • Hmm. I know, let's open a new browser window! Use that for bank work, then again close the tab, and again open a new one for the malware sites I like to play with. (See the above section on basic authentication—your choice of browser matters.) Unless you're using "incognito/private browsing", or the "-NoFrameMerging" flag for IE, you're still in the same process family, and this still-open session will be shared between all your windows until the server hits the idle timeout. Assuming it hasn't already been co-opted. CSRF'd!

所以,TL;博士?如果你关心你在这个网站上的帐户:注销。如果您关心您的帐户,并且它使用基本身份验证:注销并关闭所有浏览器选项卡和窗口。

不同意上述答案?你有自己的专长吗?请查看原始帖子,并在Super User上看到更多类似的问题,Super User是信息安全专业人士的问答网站。如果您的信息安全问题需要解决,可以问一个问题。你会得到答案的(而且是免费的。)

  • 发表于 2021-05-22 06:44
  • 阅读 ( 182 )
  • 分类:互联网

你可能感兴趣的文章

在facebook、instagram或snapchat上不被黑客攻击该怎么办

...其他服务,那么如果你为你的电子邮件帐户敞开大门,你真的是黑客节了。 ...

  • 发布于 2021-03-12 05:12
  • 阅读 ( 278 )

如何创建多个instagram帐户(以及为什么要创建)

... 但你真的需要五个以上吗?这取决于你,但事情肯定会变得复杂。 ...

  • 发布于 2021-03-20 09:59
  • 阅读 ( 513 )

我可以在ipad上使用whatsapp吗?

...能推荐它。 那么这会把事情留在哪里呢?现在,WhatsApp真的不能在iPad上使用。你可以通过一个解决方法来访问它,但这很糟糕。我们不能真诚地推荐任何方法把它做好。如果将来情况发生变化,我们将更新此指南。

  • 发布于 2021-04-07 18:14
  • 阅读 ( 315 )

如何删除snapchat帐户

...户。点击yes(是),一切将与以前一样。 相关:Snapchat真的会删除我的快照吗? Snapchat的很多受欢迎之处都来自于该服务的一次性性质。使用起来很有趣,因为什么都没有保存。你的照片在Snapchat服务器上停留的最长时间是30天...

  • 发布于 2021-04-07 21:29
  • 阅读 ( 121 )

如何远程注销您的gmail帐户

...他Gmail网络会话”在朋友的计算机上注销。对于设备,您需要访问myaccount.google.com,然后“登录&“安全”,然后是设备活动;通知。在“最近使用的设备”部分,你会看到所有的设备,目前授权访问你的Gmail帐户。轻触要...

  • 发布于 2021-05-13 15:45
  • 阅读 ( 117 )

如何删除你的facebook账户:清单

...k帐户删除你的Facebook账户太容易了。但我不相信这个过程真的做到了你想让它做的一切。是的,你的账户消失了,人们不能再给你贴标签了。是的,Facebook应该删除所有与你的帐户相关的数据。但它真的做到了吗?真的?我谨慎...

  • 发布于 2021-05-14 14:29
  • 阅读 ( 129 )

招聘人员的三封常见电子邮件以及他们真正想要的回复

...道我是否可以重新发送任何其他材料。最好的,[姓名]说真的,这就是所有这些要求。别老是想弄明白为什么招聘者要这么做。发过来就行了。3.你今天有时间聊天吗?这与电话面试邮件不同。完全不同。这可能意味着很多事情...

  • 发布于 2021-05-16 18:08
  • 阅读 ( 460 )

为什么feedly是一个扩展而不仅仅是一个webapp?

...精彩!今天的讨论为什么Feedly是一个扩展而不仅仅是一个webapp?其他伟大的讨论我怎样才能把我的身体捐给科学?用小电视当显示器可以吗?参与进来你会随简历寄求职信吗?来和我们分享你的想法。任何时候都可以进行精彩的...

  • 发布于 2021-05-24 20:14
  • 阅读 ( 72 )

blockr是一个webapp和chrome扩展,它迫使你赢得拖延时间

...以为更好的跟踪设定特定于代码的目标。缺点是,如果你真的想集中精力,你就必须让自己集中精力,而不管分机有什么帮助。禁用它并不难,你可以随时打开另一个浏览器。它绝对是一个有用的工具,特别是在这个意义上,它...

  • 发布于 2021-05-26 03:55
  • 阅读 ( 102 )

文件同步变脸:dropbox vs.google drive

...了另一台机器上,而GoogleDrive又花了大约3分钟。驱动器也真的很烦人,因为它没有给你任何关于它的同步速度或何时完成的信息。Dropbox的系统托盘图标不仅可以通过查看图标来显示它何时上传或下载,而且如果你将鼠标悬停在...

  • 发布于 2021-05-26 15:09
  • 阅读 ( 173 )
巴黎丨左岸的微笑
巴黎丨左岸的微笑

0 篇文章

相关推荐