Odhlásenie - je potrebné

Giga:
„Eviduje server nejako moje prihlásenie, alebo je vyriešené nejakou kukiskou na strane klienta?“
Většinou obojí. Cookie na klientovi je potřebná, aby server poznal, o koho vlastně jde. Server si pak obvykle eviduje další informace o přihlášení.

„Keď som prihlásený na určitú stránku (e-bay, internet-banking ...) a skončím činnosť, je potrebné sa odhlásiť?“
Většinou to asi není vyloženě nezbytné (v prohlížeči se obvykle relace ukončí zavřením okna se stránkou a na serveru to bývá tak, že po nějaké době nečinnosti je klient automaticky odhlášen), ale otázka je, proč to nedělat.

Na cizím nebo sdíleném počítači bych se z "citlivých" aplikací vždycky odhlásil a zavřel okno se stránkou.

Giga:
Když se uživatel přihlásí, na jeho počítači se uloží náhodně vygenerovaný, velice těžko uhodnutelný identifikátor (ve formě cookies), kterým se pak během práce s aplikací až do odhlášení prokazuje. Po odhlášení se identifikátor stane neplatným a k získání nového je potřeba se zase přihlásit (zadat správné jméno a heslo, příp. další údaj a dostat za to nový identifikátor).

Nikdo nepovolaný by se neměl dostat k platnému identifikátoru, protože ten by mu umožnil aplikaci používat i bez hesla (server by ho považoval za právě přihlášeného uživatele).

Identifikátoru se nepovolaný člověk může zmocnit několika způsoby:
a) přijde k počítači a přečte si ho
b) získá přístup k počítači vzdáleně (podaří se mu dostat do počítače vir, kterým ho pak ovládá) a přečte si ho
c) napojí se na místní síť a zachytí identifikátor odposloucháváním provozu

Možnost a) může zcela jistě nastat u veřejně přístupných počítačů (zkrátka tam, kam má přístup i někdo nepovolaný), pokud je počítač doma a nikdo nepovolaný k němu přístup nemá, nebezpečí takové není. I doma je ale možné, že se někdo nepovolaný k počítači dostane (v krajním případě kdyby ho někdo ukradl).

Možnost b) je případ, který by neměl nastat, v takovém případě nic v počítači není v bezpečí. Nicméně děje se to a spousta počítačů je nakažených. Naštěstí většina virů přihlášení na webu nezneužívá (jsou naprogramované za jiným účelem), ale možné to zcela jistě je.

Možnost c) se týká případů, kdy je spojení nešifrované - tak to na mnoha stránkách (jako např. tato diskuse) je, ale kritické aplikace mají vždycky spojení šifrované SSL (protokol HTTPS), takže zachytit údaje není možné. U nešifrovaného spojení se dá zachytit i jméno a heslo při přihlášení, takže tam se nebezpečí vyhnout nejde.

Takže pokud aplikaci zrovna nepoužívám, je lepší bezpečnější z ní být odhlášený. Kdyby se někdo do počítače dostal (ať už způsobem a), nebo b)), nenajde tam platný identifikátor, kterým by se mohl aplikaci prokázat a dostat se do ní tak bez hesla.

V případech a) a b) (tj. když získá přístup k počítači) může nepovolaný člověk podobně zneužít i hesla uložená v prohlížeči (viz problém "virus na webu", který se tady často řešil - byl to virus, který vykrádá uložená hesla v Total Commanderu). Takové heslo je uložené na disku a kdo má k počítači přístup, může ho přečíst.

Takže v zájmu bezpečnosti je dobré:
- nebýt zbytečně dlouho přihlášený
- neukládat hesla

Citlivé aplikace (ale např. tahle diskuse ne) typicky po relativně krátké době neaktivity (řádově desítky minut) uživatele automaticky odhlásí. Dělají to právě kvůli možnosti, že by se někdo nepovolaný dostal k identifikátoru. Pokaždé se muset znovu přihlašovat a při přihlášení ručně vyplňovat údaje je určité nepohodlí, ale je to bezpečnější než být pořád přihlášený nebo nechávat prohlížeč přihlašovací údaje si pamatovat.