Wpis z mikrobloga

Wczoraj pisałem o liście aktywnych sesji konta ( https://wykop.pl/wpis/76151855/czy-wy-jestescie-normalni-na-tym-wykopie-ktory-sys ). Spotkało się to z niemałym odzewem. Część osób zadała pytania, co z tym faktem zrobić i czy to coś poważnego. Z tego powodu trochę poszperałem i moja sugestia jest następująca - absolutnie nic z tym nie zrobicie, a jeśli będziecie, to by nic nie dało (jak mawiał Pudzian)

TLDR: Lista aktywnych sesji tak naprawdę nią nie jest i usuwanie czegokolwiek z niej absolutnie NIC nie zmienia.

Poniżej opis dla ciekawych, jak to w rzeczywistości działa. Postaram się to opisać w dużym uproszczeniu, aby wiedza techniczna nie była wymagana do zrozumienia całego procesu.

Kiedyś bardzo częstą praktyką było to, że użytkownik, po zalogowaniu, otrzymywał ciąg znaków, który reprezentuje aktywną sesję. System zapisywał sobie, że np. ABCDEFGH oznacza, że inyourbrain zalogował się o 11:46, a jego sesja jest ważna 24 godziny. Z każdą aktywnością czas aktywnej sesji mógł być podbijany (np. 24h od ostatniej akcji). Jeśli użytkownik się wylogował lub czas ten minął, to taki zapis uległ usunięciu. W takiej sytuacji, gdyby ktoś skorzystał z ciągu ABCDEFGH, to system po prostu nie posiada takiego zapisu i wymaga od użytkownika ponownego zalogowania się.

Z czasem (wraz z rozwojem rozproszonych systemów jak mikroserwisy) wprowadzono inną koncepcję (która m.in. jest wykorzystywana na wykopie), która zakłada, że serwer uwierzytelniający wystawi token (coś jak urząd wystawiający dokument tożsamości), w którym będą zapisane wszelkie informacje np. data wygaśnięcia, dostępne uprawnienia czy chociażby nazwę uzytkownika. Dzięki temu serwery nie mają potrzeby ciągłego zapisywania aktywnych sesji (bo ich de facto nie ma) i aktualizacji bazy danych, gdyż przeglądarka przesyła wspomniany token do serwera i serwer jedynie weryfikuje jego czas wygaśnięnia i to, czy w ogóle token jest legitny (czytaj utworzony przez zaufane źródło).

Rozwiązanie to ma dwa minusy - serwery nie przechowują, ile takich tokenów zostało wystawionych, więc z perspektywy użytkownika nie da się zakończyć aktywnych sesji (gdyż w tej sytuacji coś takiego w ogóle nie istnieje). "Sesja" po prostu wygaśnie wraz z czasem wygaśnięcia tokenu. @Pasterz30 słusznie zwrócił uwagę, że na Wykopie czas życia takiego tokenu wynosi 24 godziny. Z potrzeb biznesowych ludzie w IT zaczęli łączyć te dwie rzeczy - przesyłać dane za pomocą tokenów, jednocześnie przechwoując o nich informacje, by w razie czego móc je "zdezaktywować". Właśnie coś takiego jest na Wykopie. Tak, aby użytkownik mógł podejrzeć, na ilu urządzeniach jest zalogowany i taką "sesję" zakończyć.

Rozwiązanie z "tokenami" samo w sobie byłoby o tyle niewygodne, że wymagałoby od użytkowników codziennego ponownego logowania się, gdy token wygaśnie. Z pomocą przychodzi tutaj coś takiego jak "refresh token", który jest de facto taką przepustką umożliwiającą wygenerowanie następnego tokenu. Czyli token jest takim "dokumentem tożsamośći", a "refresh token" jest po prostu umożliwieniem wygenerowania kolejnego bez konieczności logowania się. Refresh token też ma swój czas wygaśnięcia i jest on dłuższy niż sam token (co jest logiczne).

I tutaj zaczyna się najciekawsze. Usunięcie wpisu z "aktywnych sesji" rzeczywiście powoduje unieważnienie danego tokenu. Jednakże użytkownik w przeglądarce ma zapisany ten "refresh token", który pozwala mu wygenerować nowy. Rozumiecie? To tak jakby policja Wam zatrzymała dowód rejestracyjny samochodu, po czym zwracacie się do urzędu o wystawienie nowego dowodu, a urząd mówi "Spoko, nie ma problemu, korzystaj z nowego dowodu". Tak właśnie działa to na Wykopie.

W systemach IT przyjęło się, by czasy trwania "tokenów" były w miarę krótkie. O ile sam "token" ma ważność 24 godziny (można to łatwo sprawdzić), o tyle refresh token jest dla mnie zagadką. Skorzystałem dzisiaj z urządzenia, na którym nie korzystałem z wykopu przez 3 tygodnie i... nie wylogowało mnie, a refresh token umożliwił wygenerowanie nowego. Z perspektywy bezpieczeństwa IT jest to wręcz karygodne.

W połączeniu tych 2 rzeczy - jeśli zdarzy się Wam gdzieś zalogować i zapomnieć o wylogowaniu, to ogarnięta osoba po prostu przejmie sobie Wasze konto na stałe, a Wy nic z tym nie zrobicie. Na szczęście nikt normalny nie loguje się na Wykop na nieswoich urządzeniach, prawda?

Lista aktywnych sesji na Wykopie nie dość, że wygląda źle (bo daje złudne wrażenie, że aktywnych sesji są tysiące), to do tego po prostu nie działa, ponieważ usunięcie wpisu dezaktywuje jedynie token, a refresh token umożliwia wygenerowanie nowego tokenu. Możecie zrobić prosty test - zalogujcie się na dwóch urządzeniach. Usuńcie wszystkie najnowsze wpisy korzystając z jednego urządzenia. Później odświeżcie stronę i zobaczcie, czy Was wylogowało. Dla leniwych - nie, nie wyloguje.

@m__b olewasz temat od miesięcy, gdy po telewizji biegasz jako "ekspert IT". Tutaj muszę wspomnieć, że @siedze-na-antresoli
siedze-na-antresoli pisał już o tym w styczniu https://wykop.pl/wpis/74728413/matko-bosko-po-kiego-grzyba-wykop-po-stronie-serwe

#programowanie #programista15k #security #wykop