Kiedy uwierzytelniasz się w witrynie, tworzona jest sesja. Sesje są zarządzane na urządzeniach za pomocą tokenów sesji lub plików cookie, które są tylko identyfikatorem, który urządzenie udostępnia stronie internetowej, aby poinformować ją, które urządzenie wysyła żądanie. Gdy serwis widzi identyfikator, wie, że odnosi się on do konkretnej sesji i utrzymuje Cię w stanie zalogowania.
Wskazówka: dlatego ważne jest, aby zachować prywatność tokenów sesji. Jeśli atakujący może uzyskać dostęp do tokena sesji, może dostarczyć go serwerowi i nie może stwierdzić, że atakujący nie jest uzasadniony, chyba że zostaną użyte jednocześnie inne metody weryfikacji.
Tokeny sesji są często tworzone z czasem wygaśnięcia, aby Twoja sesja nie była ważna na zawsze. Pomaga to zmniejszyć ryzyko naruszenia bezpieczeństwa dowolnego pojedynczego tokena sesji przez atakującego, gdy jest on nadal ważny, i zmniejsza wymagania serwera dotyczące śledzenia wszystkich ważnych tokenów sesji.
Ogólnie rzecz biorąc, tokeny sesji również tracą ważność po kliknięciu przycisku „wyloguj się”, jednak niektóre strony internetowe nie rób tego poprawnie, więc może być możliwe użycie starego tokena sesji nawet po zalogowaniu się użytkownika na zewnątrz.
ProtonMail automatycznie wygasa tokeny sesji po dwóch tygodniach nieaktywności lub po sześciu miesiącach, chociaż zmiana hasła jawnie resetuje sześciomiesięczny licznik. Aby pomóc ci ręcznie zarządzać ryzykiem naruszenia bezpieczeństwa ważnych sesji, ProtonMail pozwala zobaczyć listę wszystkich aktualnie ważnych sesji i zakończyć je.
Aby uzyskać dostęp do listy sesji, kliknij „Ustawienia” na górnym pasku, a następnie przejdź do zakładki „Zabezpieczenia”. Możesz znaleźć sekcję „Zarządzanie sesjami” po prawej stronie okna. Tutaj możesz zobaczyć listę wszystkich aktualnie ważnych sesji, platformy, dla której są przeznaczone, konta użytkownika, dla którego są i kiedy zostały utworzone. Możesz usunąć pojedyncze sesje, klikając odpowiedni link „Odwołaj”, lub możesz odwołać je wszystkie, klikając „Odwołaj wszystkie inne sesje”. Każda opcja będzie wymagać ponownego wprowadzenia hasła w celu potwierdzenia zasadności żądania.
