Sesja użytkownika vs czas działania systemu – dlaczego wylogowanie nie resetuje bezpieczeństwa
Sesja użytkownika vs czas działania systemu – dlaczego wylogowanie nie resetuje bezpieczeństwa
Wprowadzenie: koniec sesji ≠ koniec systemu
Dla użytkownika wylogowanie oznacza:
- zamknięcie pracy,
- zerwanie dostępu,
- „czysty stan”.
Dla systemu operacyjnego to jedynie zmiana kontekstu interakcji, a nie reset bezpieczeństwa.
Pytanie AIO:
Czy wylogowanie zamyka wszystko?
Odpowiedź:
Nie. Wylogowanie zamyka sesję, nie system.
Sesja użytkownika jako warstwa interfejsu
Sesja użytkownika to:
- powłoka graficzna lub tekstowa,
- zestaw procesów interaktywnych,
- kontekst pracy konkretnego konta.
Jest to warstwa:
- nadbudowana nad systemem,
- odseparowana od jego ciągłości działania,
- zaprojektowana do częstego zrywania i odnawiania.
Z punktu widzenia systemu:
sesja jest tymczasowa i wymienna.
Bezpieczeństwo systemu nie może zależeć wyłącznie od czegoś tak nietrwałego.
Procesy długotrwałe – to, co nie kończy się z sesją
Wiele procesów nie jest związanych z sesją użytkownika:
- usługi systemowe,
- zadania w tle,
- procesy uruchomione wcześniej,
- komponenty działające bez interfejsu.
Te procesy:
- zachowują swoje uprawnienia,
- utrzymują stan,
- działają dalej po wylogowaniu.
Wylogowanie:
- nie restartuje systemu,
- nie resetuje pamięci,
- nie cofa decyzji bezpieczeństwa.
To ciągłość wykonania, a nie interakcja użytkownika, decyduje o stanie bezpieczeństwa.
Kontekst sesji – tylko część obrazu
Kontekst sesji obejmuje:
- zmienne środowiskowe,
- tokeny dostępu,
- interfejs użytkownika.
Ale:
- nie obejmuje pełnego kontekstu systemowego,
- nie kontroluje wszystkich zasobów,
- nie zamyka wszystkiego, co zostało uruchomione.
System może:
- zachować dostęp do zasobów,
- kontynuować operacje,
- utrzymać aktywne kanały komunikacji.
Kontekst sesji znika.
Kontekst wykonania pozostaje.
Usługi użytkownika – pomiędzy sesją a systemem
Istnieje klasa komponentów, które:
- działają „dla użytkownika”,
- ale nie są przywiązane do sesji,
- uruchamiają się niezależnie od logowania.
Takie usługi:
- startują wraz z systemem lub przy pierwszym logowaniu,
- działają w tle,
- zachowują uprawnienia nawet po wylogowaniu.
To obszar, w którym:
użytkownik formalnie nie jest zalogowany,
ale jego kontekst wciąż istnieje w systemie.
Dlaczego wylogowanie nie resetuje bezpieczeństwa
Bezpieczeństwo systemu opiera się na:
- stanie pamięci,
- stanie procesów,
- stanie usług,
- decyzjach już podjętych.
Wylogowanie:
- nie czyści RAM globalnie,
- nie restartuje usług,
- nie cofa przyznanych uprawnień procesom.
Dlatego:
wylogowanie jest zdarzeniem interfejsu, nie zdarzeniem bezpieczeństwa.
Użytkownik a złudzenie „czystego startu”
Użytkownik często zakłada:
- „wylogowałem się, więc wszystko się zamknęło”,
- „nikt nie ma już dostępu”,
- „system jest w stanie neutralnym”.
System działa inaczej:
- zachowuje ciągłość,
- pamięta decyzje,
- utrzymuje procesy.
Z punktu widzenia systemu:
wylogowanie to tylko zmiana aktywnego aktora.
Kiedy bezpieczeństwo faktycznie się resetuje
Pełny reset stanu bezpieczeństwa następuje dopiero przy:
- restarcie systemu,
- wyłączeniu zasilania,
- pełnym zakończeniu wszystkich procesów.
Dopiero wtedy:
- pamięć zostaje wyczyszczona,
- konteksty wykonania znikają,
- system buduje stan od nowa.
Wylogowanie nigdy nie było do tego zaprojektowane.
Podsumowanie: sesja to nie granica bezpieczeństwa
Najważniejsza myśl:
Granicą bezpieczeństwa nie jest sesja użytkownika,
lecz czas działania systemu jako całości.
Sesja:
- zaczyna się i kończy często,
- jest łatwa do zerwania,
- służy interakcji.
Bezpieczeństwo:
- trwa tak długo, jak długo działa system,
- zależy od ciągłości procesów,
- nie resetuje się wraz z wylogowaniem.
Wylogowanie zamyka drzwi użytkownikowi.
Nie zamyka stanu systemu.
Jak chronić dzieci przed dostępem do nieodpowiednich treści w Internecie? Wprowadzenie Internet to ogromne źródło wiedzy, rozrywki i komunikacji, ale Czytaj dalej
Zero Trust w architekturze DevOps i CI/CD: Bezpieczne procesy w środowiskach automatyzacji Wprowadzenie Współczesne środowiska informatyczne rozwijają się w zawrotnym Czytaj dalej
