Kodulehe turvalisus ja väljalogimine

Järgnevat stsenaariumit on kirjeldatud OWASP (ingl. Open Web Application Security Project) kodulehel TOP10 turvariskide osas "Autentimine ja sessiooniandmete käsitlemine", mille algteksti saab vaadata siin.

Veebilehe toimetaja jätab avalikus internetipunktis peale töö lõpetamist "Logi välja" kaudu välja logimata, sulgeb ainult vahelehe (ingl. brauser tab, eesti keeles on kasutusel ka sakk) kuid jätab brauseri avatuks ja lahkub arvuti juurest. Tund aega hiljem on võimalus sama brauserit kasutades kodulehte toimetada, sest kasutussessioon ei ole selle aja jooksul automaatselt lõppenud.

Soovituslik lahendus: Mõõta kasutussessiooni aegumisaega lisaks ka topelt veebirakenduse tasandil ja forsseerida sessiooni kustutamist automaatselt kohe peale konkreetselt määratletud aegumisaega (mis peaks olema piisavalt lühike).

Antud stsenaariumis kirjeldatud turvalisusprobleemi tekkeks peavad olema täidetud samaaegselt päris mitu eeldust. Toome need siinkohal ka loeteluna välja:

1. Tegemist peab olema avaliku arvutiga, millele on kõigil vaba juurdepääs
2. Tööd lõpetades ei klõpsa kasutaja "Logi välja" nuppu ega logi ennast välja
3. Kasutaja sulgeb ainult kasutusel olnud saki, kuid jätab brauseri avatuks
4. Veebirakenduse ega serverikeskkonna poolt sessiooni vahepeal ei lõpetata
5. Järgmine kasutaja avab brauseri tegevusajaloost või aadressreale trükkides sama lehe ning saab seda toimetada.

Mõistagi on kõigi nende üheaegse juhtumise tõenäosus üsna väike. Vaatame igat tegurit veel lähemalt ükshaaval.

Avalik arvuti, vaba juurdepääs

Enamik kodulehe administraatoreid toimetab suurema osa ajast enda arvutis. Ka juhul kui lahkutakse enda statsionaarsest töökohast, on tänapäeval kasutajal mobiilselt tööd tehes enamasti kaasas enda sülearvuti, milles on kõik vajalikud failid ja viited kaasas, kuid mida ei lubata enamasti kasutada vabalt võõrastel.

Mõistagi lisab sülearvuti kaotamine algsele stsenaariumile veelgi mõningaid lisariske, mida ei olnud stsenaariumis kirjeldatud, kuid jäägu need mõne järgmise põhjalikuma artikli teemaks.

Avalikult kasutatavaid internetiarvuteid leidub kõige sagedamini turismiinfopunktides, raamatukogudes, majutusasutuste vestibüülides ja kohvikutes. 

Kasutaja tegevus

Teine oluline pool riski võimalikust realiseerumisest lasub kasutajal, kes jätab samaaegselt nii välja logimata kui sulgeb ainult kasutusel olnud brauserisaki (mida nimetatakse mõnes brauseris ka vaheleheks, kuid tihti on ingliskeelsete brauserite kasutajatele tuttavlikum "tab"). Juhul kui kasutaja logiks välja või sulgeks kogu brauseri (piisab ühest, veel parem on teha mõlemat), ei oleks kasutussessioon hiljem kasutatav.

Tajudes vähem või rohkem avaliku arvuti riske, klõpsavad hoolikad kasutajad enamasti nii "logi välja" nuppu, sulgevad brauseriakna kui ka avavad selle uuesti ning sisestavad toimetatava kodulehe aadressi, et veenduda isiklikult sessiooni lõpetatuses.

Eriti teadlikud kasutajad kasutavad vähegi avalikumates arvutites privaatsust tõstvaid funktsioone, mille näideteks on Google Chrome "Inkognito aken" (kiirklahvikombinatsiooniga Ctrl+Shift+N) ja Mozilla Firefoxi "Privaatne aken" (Ctrl+Shift+P).

Teisalt tuleb möönda, et täielikult ei saa siiski välistada kasutaja tähelepanu hajumisest (näiteks telefonikõne tõttu), väsimusest tingitud hajameelsust vms tingitud ettevaatamatut tegevust.

Kuritahtlik motivatsioon ja tajutud anonüümsus

Volitamata kasutuse eelduseks on lisaks ka, et arvuti hilisem kasutaja avab sama kodulehe, saab aru toimetamise võimalikkusest ning on motiveeritud selle toimetamisest. Avalike internetipunktide puhul tasub kindlasti silmas pidada, millist tüüpi arvuti ja selles kasutatava tarkvaraga tegemist on ning millistel alustel selle kasutamist võimaldatakse.

Kaasaegsed internetipunktid on varustatud spetsiaalse tarkvaraga, mille põhiliseks funktsiooniks on kasutussessiooni lõppedes kõigi andmete kustutamine (sealhulgas brauserite puhastamine sessiooniandmetest). Samuti on Eesti internetipunktide pidajad nüüdisajal motiveeritud kasutajate isikute tuvastamisest, et kasutusest tuleneda võivaid hilisemaid probleeme vältida (näiteks vastutus kommentaariumides leimamise eest).

Paljud internetikohvikute pidajad on võimalike probleemide ennetamiseks üles pannud ka turvakaamerad.

Veebiserveri seaded

Juhul kui veebirakenduse poolt ei ole sessiooni kehtivust määratletud ei tähenda see, et sessioonid võiksid lõpmatuseni kesta. Veebiserveris on seatud vaikimisi aegumisaeg, mis on tüüpiliste virtuaalserverite puhul 1440 sekundit (24 minutit), peale mida kuuluvad sessioonid kustutamisele.

Probleem võib tekkida juhul kui veebiserveri haldur on seadeid muutnud ja aegumisaega olulisel määral pikendanud. Ka muudel erandlikel põhjustel ei saa olla alati serverikeskkonnas toimiva sessioonihalduse mehhanismides täiesti kindel, seepärast on soovitav lisada turvalisuse huvides kasutussessiooni pikkuse mõõtmiseks lisalahendus ka veebirakenduse tasandile. Nii on serveri seadetest sõltumatult täiesti kindel, et sessioon alati ka ettemääratud aja möödudes kustub.

Soovitusliku lahenduse kriitika

Stsenaariumis välja toodud näide kasutab ajalist raami üks tund. Juhul kui automaatne aegumisaeg on seatud näiteks 48 minutile, siis kõigi muude tingimuste kokkulangemisel pahatahtlikul kasutajal ikkagi üle kolmveerand tunni, et lõpetamata sessiooni kasutama asuda. Kui tegemist on tõeliselt kavatsusliku pahatahtlikkusega, siis on kõige tõenäolism, et kasutajat jälgitakse üle õla ning nähakse nii toimetatavat lehte kui ka sessiooni lõpetamata jätmist.

Algse kasutaja arvuti juurest lahkumise järel ei hakka pahalane loomulikult tundi aega ootama, vaid asub avanenud toimetamisvõimalust suurema tõenäosusega kasutama pigem juba paari minuti möödudes. Sellisel juhul ei ole automaatsest aegumisajast muidugi erilist abi, kui see ei ole just ülilühikeseks seadistatud.  Vaatlemegi järgnevalt lähemalt kuidas mõjutab lühemapoolne sessiooni aegumine veebirakenduse kasutajasõbralikkust.

Mis juhtuks oluliselt lühema aegumisaja puhul?

Juhul kui seada automaatne aegumisaeg oluliset lühemaks, näiteks kolmele minutile, vähendab see stsenaariumis kirjeldatud volitamata kasutamise riski väga suurel määral. Teisalt hakkab sedavõrd lühike aegumisaeg üsna tõenäoliselt toimetajaid segama, sest sessioon aegub kiiresti ja iga natukese aja tagant tuleb uuesti sisse logida.

Juhul kui automaatse sessiooni aegumisega kaasneb ka toimetatavate tekstide mittesalvestumine võib selline lahendus tekitada toimetajatele üsna suurt ebamugavust või ekstreemsemal juhul isegi muuta toimetamise praktiliselt võimatuks. 

Protseduurne lahendus

Juhul kui kasutaja on teadlik, millisel juhul tuleb kindlasti kasutajasessioon sulgeda, on võimalus käesoleva riskistsenaariumi realiseerumiseks oluliselt väiksem. Aara disainibüroo poolt loodud veebirakenduste juhendi osas on alates 3.046 versioonist lõik "Toimetamise lõpetamine", milles on rõhutatud väljalogimise olulisust avalikes internetipunktides ja kirjeldatud üldjoontes ka selle artikli alguses kirjeldatud riskistsenaariumit.

Kodulehte haldav ettevõte või organisatsioon saab turvalisust veelgi tõsta, kui kehtestab protseduurireeglid kodulehe toimetamisele, mis hõlmavad muuhulgas:

1. Millistes arvutites on lubatud kodulehte toimetada
2. Millistes situatsioonides tuleb kasutada brauseri "inkognito akent"
3. Toimetamise lõpetamisel on kohustuslik kindlasti välja logida
4. Millal on peale toimetamist vajalik sulgeda ka brauseriaken

Järjepidevalt samade protseduuride jälgimine loob positiivsed kasutajaharjumused, mis toetavad kõigiti turvalisuse tõusu ning vähendavad potentsiaalseid riske.

Võimalus ise aegumisaega määrata

Astudes sammukese paindlikuse ja paremini kasutajate vajadusele kohanduva veebitarkvara suunas, on alates FastLioni sisuhaldussüsteemi versioonist 11.004 kasutajatel võimalus ise määrata aegumisaja pikkust ning leida enda kasutuse jaoks optimaalne tasakaal turvalisuse ning mugavuse vahel.

Lisaks tõstab võimalus ise aega määrata veebirakenduste toimetajate teadlikkust sessiooni kehtivusajast ning toetab seeläbi veelgi turvalisi kasutusharjumusi.