Webサイトに認証すると、セッションが作成されます。 セッションは、セッショントークンまたはCookieを使用してデバイス上で管理されます。これらは、デバイスがWebサイトに提供する識別子であり、どのデバイスが要求を行っているかを通知します。 Webサイトが識別子を確認すると、それが特定のセッションを参照していることがわかり、ログインを維持します。
ヒント:これが、セッショントークンをプライベートに保つことが重要である理由です。 攻撃者がセッショントークンにアクセスできる場合、攻撃者はそれをサーバーに提供でき、他の検証方法が併用されない限り、攻撃者が正当ではないことを知ることはできません。
多くの場合、セッショントークンは有効期限付きで作成されるため、セッションが永久に有効になることはありません。 これにより、個々のセッショントークンがまだ有効である間に攻撃者によって侵害されるリスクが軽減され、すべての有効なセッショントークンを追跡するためのサーバー要件が軽減されます。
通常、「ログアウト」ボタンをクリックするとセッショントークンも期限切れになりますが、一部のWebサイトでは これを正しく行わないと、ユーザーがログインした後でも古いセッショントークンを使用できる可能性があります アウト。
ProtonMailはセッショントークンを自動的に期限切れにしますが、パスワードを変更すると6か月のタイマーが明示的にリセットされますが、2週間の非アクティブ状態または6か月後のいずれかです。 有効なセッションが危険にさらされるリスクを手動で管理できるように、ProtonMailでは現在有効なすべてのセッションのリストを表示してそれらを終了することができます。
セッションリストにアクセスするには、トップバーの[設定]をクリックしてから、[セキュリティ]タブに切り替えます。 ウィンドウの右側に「セッション管理」セクションがあります。 ここでは、現在有効なすべてのセッション、それらが対象としているプラットフォーム、それらが対象としているユーザーアカウント、およびそれらがいつ作成されたかのリストを確認できます。 関連する[取り消し]リンクをクリックして個々のセッションを削除するか、[他のすべてのセッションを取り消す]をクリックしてすべてのセッションを取り消すことができます。 どちらのオプションでも、リクエストの正当性を確認するためにパスワードを再入力する必要があります。
