Funziona sia con un meta refresh che con un JavaScript, che inviano continuamente richieste per mantenere viva la sessione.
Fondamentalmente, funziona con un identificatore di sessione, cioè una stringa casuale. Questo identificativo di sessione potrebbe essere valido per diciamo 3 minuti.
Ogni minuto, la pagina Web eseguirà il codice JavaScript o eseguirà un aggiornamento meta, facendo sì che la pagina ottenga un nuovo identificativo di sessione valido per Altri 3 minuti.
Il motivo per cui sa che hai chiuso la finestra è che la sessione non verrà più rinnovata, quindi la tua sessione scadrà.
Il motivo dell'utilizzo di un tale sistema è quello di impedire agli utenti di falsificare gli indirizzi MAC e gli indirizzi IP per "rubare" la sessione di accesso di un altro.
Il popup è spesso distribuito su HTTPS, quindi una volta che l'utente originale smette di usare la sessione, non c'è modo che l'attaccante mantenga viva la sessione.
In alcuni casi, viene utilizzato uno schema di interlock invece di HTTPS (o talvolta in combinazione), che consistono in un JavaScript che è costruito per fare alcuni scambi di segreti con il server ogni sessione si rinnova, in un modo che richiede un Attacco MITM per sottomettere il sistema.