웹 사이트에 인증하면 세션이 생성됩니다. 세션은 어떤 장치가 요청을 하고 있는지 알려주기 위해 장치가 웹사이트를 제공하는 식별자일 뿐인 세션 토큰 또는 쿠키를 사용하여 장치에서 관리됩니다. 웹사이트는 식별자를 볼 때 특정 세션을 참조한다는 것을 알고 로그인 상태를 유지합니다.
팁: 이것이 세션 토큰을 비공개로 유지하는 것이 중요한 이유입니다. 공격자가 세션 토큰에 액세스할 수 있으면 서버에 제공할 수 있으며 다른 확인 방법을 함께 사용하지 않는 한 공격자가 합법적이지 않다고 말할 수 없습니다.
세션 토큰은 만료 시간과 함께 생성되어 세션이 영원히 유효하지 않은 경우가 많습니다. 이는 개별 세션 토큰이 유효한 동안 공격자에 의해 손상될 위험을 줄이는 데 도움이 되며 모든 유효한 세션 토큰을 추적해야 하는 서버 요구 사항을 줄입니다.
일반적으로 세션 토큰은 "로그아웃" 버튼을 클릭해도 만료되지만 일부 웹사이트에서는 이 작업을 올바르게 수행하지 마십시오. 사용자가 로그인한 후에도 이전 세션 토큰을 사용할 수 있습니다. 밖.
ProtonMail은 세션 토큰이 2주 동안 활동하지 않거나 6개월 후에 자동으로 만료되지만 비밀번호를 변경하면 6개월 타이머가 명시적으로 재설정됩니다. 유효한 세션이 손상될 위험을 수동으로 관리할 수 있도록 ProtonMail을 사용하면 현재 유효한 모든 세션 목록을 보고 종료할 수 있습니다.
세션 목록에 액세스하려면 상단 표시줄에서 "설정"을 클릭한 다음 "보안" 탭으로 전환하십시오. 창 오른쪽에서 "세션 관리" 섹션을 찾을 수 있습니다. 여기에서 현재 유효한 모든 세션 목록, 해당 세션의 플랫폼, 해당 사용자 계정 및 생성 시기를 확인할 수 있습니다. 관련 "취소" 링크를 클릭하여 개별 세션을 삭제하거나 "다른 모든 세션 취소"를 클릭하여 모두 취소할 수 있습니다. 두 옵션 모두 요청의 정당성을 확인하기 위해 비밀번호를 다시 입력해야 합니다.
