Dies ist keine triviale, vereinfachende Frage. Es gibt verschiedene Aspekte, die Sie berücksichtigen müssen, und verschiedene Mechanismen und Gegenmaßnahmen, die für verschiedene Bedrohungen in verschiedenen Szenarien gelten, die von mehreren verschiedenen Clients betroffen sind. Lassen Sie uns diese einzeln untersuchen. (Am Ende wird eine TL; DR angezeigt ...)
Wenn Sie einen öffentlichen Computer verwenden: LOG OUT.
Alle Dienste, bei denen Sie ein Konto führen, sollten nicht auf einem öffentlich zugänglichen Computer angemeldet bleiben.
Wenn Sie einen trivialen, unempfindlichen Dienst verwenden: Bleiben Sie angemeldet.
Dies gilt nur für wegwerfbare, temporäre Konten, z Was das Internetradio betrifft, bei dem das Verschenken des Zugangs nichts anderes als ein Ärgernis ist.
Wenn Sie öffentliches WLAN verwenden: ABMELDEN.
Da das Netzwerk von Natur aus nicht vertrauenswürdig ist, gibt es eine große offensichtliche BEDROHUNG: Diebstahl von Sitzungscookies. Möglicherweise wurde Ihre Sitzung entführt, und jemand - entweder eine andere Person im Netzwerk oder der Hotspot selbst - hat Ihr Sitzungscookie gestohlen. Wenn dies der Fall wäre, würden Sie es natürlich nicht wissen, aber dann können Sie sich möglicherweise auch nicht wirklich abmelden (wenn es sich um ein böswilliges Netzwerk oder MITM handelt, haben sie die Kontrolle über Ihre gesamte Verbindung - sie können einfach Ihre Verbindung trennen Abmeldeanforderung).
Der Diebstahl nur Ihres Sitzungscookies durch Dritte ist jedoch eine gültige Bedrohung (z. B. FireSheep), und die explizite Abmeldung verhindert die unbegrenzte Verwendung. (Grundsätzlich ist der Schaden möglicherweise bereits angerichtet worden, aber dies verhindert, dass er fortgesetzt wird.)
Noch besser ist es, sich in ein vertrauenswürdiges Netzwerk zu begeben und sich explizit wieder abzumelden, nur für den Fall Das MITM hat Ihre Abmeldung blockiert. Besser noch ist es, Ihr Passwort auf der vertrauenswürdigen Site zu ändern ... Am besten greifen Sie jedoch niemals von einem nicht vertrauenswürdigen Netzwerk aus auf eine nicht triviale, vertrauliche Site zu.
Wenn Sie Ganztagesanwendungen verwenden: BLEIBEN SIE ANGEMELDET.
Für Dienste, die Sie den ganzen Tag nutzen und auf die Sie schnell und einfach zugreifen möchten, z. Facebook, E-Mail usw. - WENN dies Ihr eigener privater (oder geschäftlicher) Computer in einem vertrauenswürdigen Netzwerk ist, ist es ein sinnvoller Kompromiss, Ihren Browser langfristig angemeldet zu lassen.
GEFAHR : Böswilliger Zuschauer
Sperren Sie Ihren Computer jedes Mal, wenn Sie weggehen, selbst um eine Tasse Kaffee zu bekommen. Oder schließen Sie Ihr Büro ab, wenn Sie eine physische Tür haben, durch die niemand sonst hindurch kann. (Oder haben Sie ein Home Office, wheee!) Melden Sie sich regelmäßig ab und wieder an. Überwachen Sie alle von Ihnen verfassten Beiträge.
BEDROHUNG: Andere Websites können registrieren, dass Sie angemeldet sind (zB um dir das wichtige "Gefällt mir" -Symbol von Facebook zu zeigen). Dies ist Teil des geltenden Kompromisses, während es weitere Implikationen gibt, die für diese Antwort nicht relevant sind.
Wenn Sie alle Anwendungen verwenden, die die HTTP-Basisauthentifizierung verwenden (z. B. viele Router): MELDEN SIE SICH AUS UND SCHLIESSEN SIE ALLE BROWSER-FENSTER. Hier wird es interessant, und dies gilt auch für den nächsten Abschnitt.
Wenn Sie sich mit Basic AuthN bei einer Webanwendung anmelden, speichert der Browser Ihr Kennwort zwischen und sendet es bei jeder Anforderung. Der BasicAuth-Mechanismus des Browsers hat kein Sitzungskonzept. Selbst wenn Sie sich wiederholt abmelden, hat die Webanwendung weder auf der Server- noch auf der Clientseite eine Möglichkeit, die Sitzung zu "beenden". Die einzige Möglichkeit, diese zwischengespeicherten Anmeldeinformationen zu löschen, besteht darin, den Browserprozess abzubrechen.
JEDOCH . Ihre Wahl des Browsers ist für dieses Konzept des "Browserprozesses" von Bedeutung. Zum Beispiel:
Firefox : Immer ein einzelner Prozess, egal wie viele Registerkarten und Fenster Sie öffnen.
Chrome : Jede Registerkarte ist ein separater Prozess. Es gibt jedoch einen anderen "globalen" übergeordneten Prozess. Alle Registerkartenprozesse sind untergeordnete Prozesse dieses Prozesses (im Windows-Sprachgebrauch als "Jobprozess" bezeichnet) und sie teilen sich den Prozessspeicher über den übergeordneten Prozess . Dies gilt auch, wenn Sie ein neues Fenster öffnen. Während die umfangreichen untergeordneten Prozesse von Chrome mit gemeinsam genutzten übergeordneten Elementen die Registerkarten besonders lebendig und robust machen, besteht der Nachteil darin, dass der Prozessstatus gemeinsam genutzt wird. Mit anderen Worten, die einzige Möglichkeit, zwischengespeicherte BasicAuth-Anmeldeinformationen aus Chrome zu entfernen, besteht darin, alle Chrome-Fenster zu schließen, jedes letzte. Das Schließen der Registerkarte allein hilft nicht.
IE : Das Registerkarten- / Prozessmodell ist mit einer Ausnahme identisch (oder ähnlich) wie Chrome. Standardmäßig öffnet der IE auch alle Registerkarten in einem untergeordneten Element des übergeordneten Prozesses. (Tatsächlich ist dies nicht 100% genau - einige Registerkarten teilen einen untergeordneten Prozess mit anderen Registerkarten - aber dies spielt in der Realität keine Rolle). Wenn Sie jedoch " -NoFrameMerging
" zur IE-Befehlszeile hinzufügen, wird ein vollständig neuer übergeordneter IE-Prozess erstellt. Der Unterschied besteht darin, dass Sie z. Erstellen Sie ein neues übergeordnetes Fenster, um sich bei Ihrem Router anzumelden, und schließen Sie dann nur dieses Fenster, wenn Sie fertig sind. Dadurch wird Ihr BasicAuth-Cache geleert, ohne dass andere geöffnete IE-Fenster berührt werden. (Randnotiz: Dies ist auch mit Chrome möglich! Es ist jedoch viel aufwändiger und erfordert, dass Sie ein anderes Browserprofil auf Ihrem Computer erstellen.)
Wenn Sie sensible Anwendungen verwenden, z Banking-Apps - IMMER AUSSCHLIESSLICH ABMELDEN UND ALLE BROWSER-FENSTER SCHLIESSEN. Dieser Teil ist etwas komplizierter, aber viele der Abhängigkeiten wurden bereits oben behandelt.
GEFAHR: Böswilliger Zuschauer Das Sperren Ihres Computers wie oben wäre sinnvoll, es besteht jedoch keine Notwendigkeit für einen Kompromiss von zuvor. Melden Sie sich einfach ab.
Sitzungszeitlimit: Darüber hinaus sollten die meisten vertraulichen (z. B. Bank-) Apps eine Form des automatischen Leerlaufzeitlimits implementieren. Wenn Sie also für den Nachmittag ausgehen, wird Ihre Sitzung irgendwann automatisch beendet. Dies hilft möglicherweise nicht bei dieser Bedrohung, da der böswillige Zuschauer möglicherweise einfach auf Ihren Computer springt, wenn Sie 4 1/2 Minuten aussteigen, um Ihren Kaffee nachzufüllen.
GEFAHR: Diebstahl von Sitzungscookies
Hoffentlich verhindern sensible Apps dies aktiv, z. HTTPS, IDS, Geo- / Betrugserkennung usw. Trotzdem ist es immer noch sinnvoll, dieses "Zeitfenster" zu schließen, nur für den Fall - Tiefenverteidigung und all das.
Sitzungszeitlimit: As Zuvor sollten die meisten sensiblen (z. B. Bank-) Apps eine automatische Zeitüberschreitung im Leerlauf implementieren und dabei helfen, diese Bedrohung zu minimieren. Allerdings , selbst wenn Sie wissen, dass diese App Leerlaufzeitlimits korrekt implementiert, gibt es für den Angreifer immer noch ein Zeitfenster. In einer relativ sicheren App ist dies jedoch keine große Bedrohung.
GEFAHR: Cross Site Request Forgery (CSRF)
Dies ist derjenige, über den Sie sich Sorgen machen müssen.
Angenommen, Sie sind bei Ihrer Bank angemeldet. Im selben Fenster, auf einer anderen Registerkarte, durchsuchen Sie eine zweifelhafte Website. Beim Anzeigen dieser Website werden möglicherweise verschiedene bekannte Bank-Websites heimlich getestet, um festzustellen, ob Sie zufällig bei einer dieser Websites angemeldet sind. Wenn dies der Fall ist, wird der CSRF-Angriff aktiviert (nicht alle Bankseiten sind dafür anfällig, viele jedoch noch). CSRF'd!
Okay. Angenommen, Sie sind schlauer als dieser andere Typ und durchsuchen verdächtige Websites nicht, wenn Ihre Bankenseite geöffnet ist. Nachdem Sie auf Ihrer Bank fertig sind, schließen Sie die Registerkarte vorsichtig. Erst dann öffnen Sie einen neuen Tab, um zur zwielichtigen Site zu navigieren. Das Problem ist, dass Sie immer noch angemeldet sind und dies für eine Weile tun wird (normalerweise etwa 30 Minuten, aber es können nur 10 oder bis zu einer Stunde sein ...). CSRF'd! .
(Beachten Sie, dass das Sitzungszeitlimit hier hilfreich ist, indem das Zeitfenster verkürzt wird. Es besteht jedoch weiterhin die Möglichkeit, dass dies innerhalb des Fensters geschieht.)
Hmm. Nun, ich weiß, öffnen wir ein neues Browserfenster! Verwenden Sie dies für die Bankarbeit, schließen Sie dann erneut die Registerkarte und öffnen Sie erneut eine neue für die Malware-Websites, mit denen ich gerne spiele. Hoppla, lesen Sie den obigen Abschnitt über die Standardauthentifizierung - Ihre Wahl des Browsers ist wichtig.
Es sei denn, Sie verwenden "inkognito / privates Surfen" oder das Flag " -NoFrameMerging
" für IE, Sie befinden sich immer noch in derselben Prozessfamilie , und diese noch offene Sitzung wird von allen Fenstern gemeinsam genutzt, zumindest bis der Server das Leerlaufzeitlimit erreicht. Vorausgesetzt, es wurde noch nicht kooptiert. CSRF'd!
Okay, noch eine, nur noch eine. Ich habe diesen überlangen Beitrag irgendwo gelesen, wie ich mich immer von meinen sensiblen Apps abmelden muss - also mache ich genau das, bevor ich zu meinen kriminellen Websites gehe. Leider hat die Anwendung "vergessen", sich ordnungsgemäß abzumelden. Sie leitet mich nur aus der Anwendung heraus (oder löscht mein Cookie oder ...), anstatt es auf dem Server ungültig zu machen ... CSRF'd!
Also, TL; DR?
- Wenn Sie sich für Ihr Konto auf dieser Website interessieren: LOG OUT.
- Wenn Sie sich für Ihr Konto interessieren und es die Basisauthentifizierung verwendet: Melden Sie sich ab und schließen Sie alle Browser-Fenster und -Fenster.
- Wenn Sie sich nicht für Ihr Konto interessieren - es spielt keine Rolle, was Sie tun, hören Sie auf zu fragen :-).
P.S. Ich habe Dinge wie Flash-Cookies, Nicht-http-Sitzungen und integrierte Windows-Authentifizierung nicht behandelt. Genug ist genug. sub>