Ad esempio, Gmail ha consentito la disconnessione remota dal 2008. Credo di aver visto altri siti che consentono di disconnettere tutte le altre sessioni registrate.
Quali sono i compromessi da considerare in questa strategia di gestione delle sessioni?
La funzionalità è davvero utile dal punto di vista della sicurezza in quanto consente agli utenti di notare facilmente se qualcun altro sta accedendo all'account. Questa è una caratteristica davvero utile nel tipo di attacchi in cui l'attaccante vorrebbe osservare silenziosamente l'account per ottenere informazioni senza effettivamente fare nulla di attivo che attiri l'attenzione su di sé.
Il più grande svantaggio che posso pensare sarebbe che un utente malintenzionato sia in grado di eseguire un attacco denial-of-service contro gli account attualmente connessi. Ovviamente questo non è un aspetto negativo in quanto l'hacker potrebbe fare molto peggio se è in grado di accedere al tuo account.
È principalmente un guadagno. Dal punto di vista della sicurezza, le sessioni dovrebbero scadere rapidamente, ma dal punto di vista dell'usabilità, gli utenti non vogliono dover accedere costantemente. Se si intende consentire l'accesso persistente, offrire un meccanismo per cancellare gli accessi persistenti è un buon (quasi obbligatorio) idea. In questo modo un utente può ripulire se stesso se si rende conto che potrebbe essere connesso da qualche parte che non desidera essere.
L'unico lato negativo che riesco a vedere è un utente malintenzionato che lo utilizza per bloccare un utente legittimo, ma che può essere superato semplicemente tenendo traccia se la sessione corrente ha avuto un accesso e solo sessioni di cancellazione che vengono salvate negli accessi. (Pensa al modo in cui Amazon mantiene il tuo "login" ma ti chiede di inserire la tua password la prima volta che vai a fare un acquisto.)
In questo modo, si ottiene la sicurezza di essere in grado di garantire che le vecchie sessioni salvate vengano cancellate, ma anche di impedire a un utente con le credenziali dell'account di essere escluso dal sistema. Hai ancora una condizione di gara per chi può cambiare prima la password, ma se sei preoccupato di questo, puoi aggiungere ulteriore sicurezza al cambio di password.
Leggi altre domande sui tag session-management