وقتی شما توی یه سایت لاگین می‌کنید، اتفاقی که می‌افته به زبون ساده اینه: مرورگر (browser) شما اطلاعاتی که وارد کردید، از جمله نام کاربری (username) و گذرواژه (password) رو به سایت می‌فرسته و اگر سایت اون‌ها رو تایید کرد یه نشست کاربری (session) برای شما ایجاد می‌کنه. از این جا به بعد، برای این که لاگین «بمونید» باید یک راهی باشه که سایت بقهمه شما هنوز توی همون نشست کاربری هستید. اون راه اینه که سایت یک کوکی (cookie) می‌فرسته به مرورگر شما. هر بار که شما صفحهٔ جدیدی توی این سایت باز کنید (مثلاً با کلیک کردن روی یکی از لینک‌ها) مرورگر به طور خودکار اطلاعات نشست کاربری رو (که مثل یک شمارهٔ خیلی طولانی هستش) می‌فرسته به سایت و اون می‌فهمه که شما هنوز لاگین هستید.

اگر پنجرهٔ مرورگر رو به طور کامل ببندید، کوکی‌های نشست کاربری از حافظه پاک می‌شن. پس اگر از نو پنجره رو باز کنید، دوباره مجبورید لاگین کنید. پس چی شد؟ «اطلاعات نشست کاربری» از حافظهٔ کامپیوتر شما پاک شد. اما از حافظهٔ سرور چه طور؟!

جواب اینه: سرور اطلاعات رو تا مدتی نگه می‌داره. این مدت معمولاً چیزی حدود بیست دقیقه هستش. و اگر شما به صفحه‌ای توی این سایت سر بزنید و هنوز لاگین باشید، این مدت از نو شمرده می‌شه. پس یعنی بیست دقیقه از آخرین باری که به صورت لاگین شده به سایت سر زدید.

اما اگر شما لاگ آوت بکنید، اطلاعات نشست کاربری از سرور هم پاک می‌شه. حالا اهمیت این در چیه؟

فرض کنید که شما در جایی به اینترنت وصل می‌شید که مطمئن نیست (به هر دلیلی).اگر شما لاگ آوت نکنید و فقط پنجره رو ببندید، این امکان وجود داره که یک نفر به طریقی (پایین‌تر توضیح می‌دم) اطلاعات نشست کاربری شما رو قبل از بسته شدن پنجره به دست بیاره و مثلاً دو دقیقه بعد (در حالی که هنوز از نظر سرور این نشست کاربری وجود داره) توی سایت بره و اطلاعات شخصی شما رو ببینه! معنی‌اش این می‌شه که مثلاً شما صفحهٔ ای-میل یاهو رو بستید اما دو دقیقه بعد، هکر مربوطه توی ای-میل شما داره گشت و گذار می‌کنه!

این روزها بحث امنیت شبکه خیلی مهم شده. گفته می‌شه بعضی کشورها (از جمله چین رو اسم می‌برن)، محتوای اطلاعاتی که توسط کاربرها در اینترنت مبادله می‌شه رو کنترل می‌کنن. در این حالت ممکنه که بسته‌های اطلاعاتی کاملاً بررسی بشن (با تکنیکی موسوم به packet sniffing) و اطلاعات نشست کاربری بیرون کشیده بشن. اون وقت دولت اون کشور (مثلاً چین) می‌تونه اگر بخواد، اطلاعات نشست کاربری یک آدم به خصوص رو که بهش مشکوکه در بیاره و بره توی ای-میلش و غیره.

ممکنه بپرسید که اگر کسی می‌تونه اطلاعات مبادله شده رو ببینه، خوب از اول می‌ره نام کاربری و گذرواژه رو در می‌آره! جواب اینه که این اطلاعات در بیشتر سایت‌های درست و حسابی، به شکل رمزگذاری شده منتقل می‌شن. مثلاً توی ای-میل یاهو دو مرحلهٔ رمزگذاری رعایت می‌شه: اولاً صفحهٔ لاگین کردن به یاهو خودش رمزگذاری شده‌است (برای همین هم آدرسش https://login.yahoo.com هست) و دوماً گذرواژه‌ای که وارد می‌کنید خودش ارسال نمی‌شه بلکه اول به طور غیرقابل برگشتی توسط الگوریتمی به اسم MD5 کدگذاری می‌شه. این دو تا با هم، امکان در آوردن گذرواژه از طریق بررسی بسته‌های اطلاعاتی رو خیلی به صفر نزدیک می‌کنه.

نتیجه کلی این می‌شه: هر زمان که کارتون تموم شد، قبل از بستن پنجره مروگر اول از سایت‌ها خارج بشید.

نکتهٔ فنی: مثل همیشه سعی کردم که از فارسی به جای انگلیسی استفاده کنم! با این حال ترجیح دادم برای راحت خونده شدن مطلب به جای «وارد شدن به سیستم» بگم «لاگین» و به جای «خارج شدن از سیستم» بگم «لاگ آوت».

نکتهٔ خیلی فنی: اول مطلب گفتم که ماجرا رو به زبون ساده دارم می‌گم. دوستان خیلی فنی نیان راجع به استثناها گیر بدن، مدل کلی (سوای استثناها) همینه که گفتم.

برچسب‌ها: امنیت، لاگ اوت