Oturum yönetimi nasıl çalışır
Kimlik doğrulama bir kez yapılır ama ortaya çıkan oturum dakikalarca, saatlerce veya günlerce yaşar. Başarılı bir girişten sonra sunucu, çerezde saklanan bir oturum tanımlayıcısı ya da modern jeton tabanlı mimarilerde bir jeton kümesi üretir; sonraki her istek kimlik bilgileri yerine bu kanıtı sunar. Oturum yönetimi, bu yapıyı yöneten her şeydir: tahmin edilemez biçimde üretmek, aktarımda ve saklamada korumak ve ne zaman geçersiz kalacağına karar vermek.
Ömürler iki zamanlayıcıyla denetlenir. Boşta kalma zaman aşımı, belirli bir hareketsizlik süresinden sonra oturumu bitirir; mutlak zaman aşımı ise etkinlikten bağımsız olarak toplam oturum süresini sınırlar. Federasyonlu ortamlarda tablo katmanlıdır: kimlik sağlayıcı merkezi bir oturum tutarken her uygulama kendi oturumunu tutar ve kullanıcıların gerçekten ne sıklıkla yeniden doğrulama yapacağını IdP düzeyindeki politikalar belirler.
Oturum yönetimi neden önemli
Çalınan bir oturum, çalınan bir parola kadar değerlidir; saldırgan için çoğu zaman daha da değerlidir, çünkü zaten karşılanmış olan MFA'yı sessizce atlar. Sızan çerezler, siteler arası betik çalıştırma veya bilgi hırsızı zararlılarla yapılan oturum kaçırma, kurumlar giriş adımını sağlamlaştırıp oturum adımını yumuşak bıraktığı için başlıca saldırı tekniklerinden biri haline gelmiştir.
Zayıf oturum disiplini diğer tüm kimlik kontrollerini de zayıflatır. Ayrılan bir çalışanın hesabını kapatmak, mevcut oturumları günlerce çalışmaya devam ediyorsa pek bir şey ifade etmez; yalnızca girişte değerlendirilen koşullu erişim de oturum ortasında risk değiştiğinde tepki veremez. Sağlıklı ömürler, iptal ve yeniden değerlendirme, anlık kimlik doğrulamayı sürekli güvenceye dönüştüren unsurlardır.
Uygulamada oturum yönetimi
Temel hijyen iyi bilinir: Secure, HttpOnly ve SameSite işaretli çerezler; oturum sabitlemeyi önlemek için girişten sonra yeniden üretilen oturum tanımlayıcıları; uygulamanın hassasiyetine göre ayarlanmış boşta kalma ve mutlak zaman aşımları. Jeton tabanlı sistemler buna kısa erişim jetonu ömürleriyle iptal edilebilir yenileme jetonlarını ekler; böylece sızan bir erişim jetonu hızla dolar, uzun ömürlü durum ise sunucu denetiminde kalır.
Operasyonel tarafta yöneticilerin görünürlüğe ve bir acil kapatma düğmesine ihtiyacı vardır: kullanıcı başına etkin oturumların görünümü ve işten çıkışta veya olay müdahalesinde bunların tümünü iptal edebilme. İptali tek oturum kapatmayla eşleştirmek, sonlandırmayı bağlı uygulamalara da yayar. Monosign, yöneticilerin oturum ömrü ve yeniden doğrulama politikalarını merkezden tanımlamasına ve kullanıcının bağlı uygulamalardaki etkin oturumlarını sonlandırmasına olanak verir.