Devriez-vous
fermer la session ou simplement fermer le fureteur
Lorsque vous êtes sur un site sécurisé comme votre institution
financière, Facebook, votre courriel en ligne, devez-vous cliquer sur
"fermer la session" ou est-ce que fermer le fureteur suffit pour
fermer la session?
Tout dépend de vos paramètres de
fureteur, le site que vous visitez, où vous êtes et vos intentions. Confus? Nous allons démystifier ce qui se
produit lorsqu'un site requiert que vous vous authentifiiez pour y accéder, les
paramètres du fureteur que vous utilisez et le site auquel vous accédez. Ensuite nous allons jeter un coup d'œil sur
l'endroit où vous êtes et vos intentions.
Commençons par limiter le choix des
fureteurs aux 3 plus populaires soit : Google Chrome (44%), Internet
Explorer (23%) et Firefox (19%). Safari
de Apple, qui arrive quatrième avec seulement 9.5% (source: StatCounter.com),
ne sera pas examiné.
Quel que soit le fureteur que vous
utilisez, un site sécurisé vous envoie un témoin (cookie) pour enregistrer
votre session. Si l'authentification se
produit à partir d'une page sécurisée (l’adresse URL commence par HTTPS), le témoin
est envoyé à votre ordinateur sous forme cryptée qui le rend presqu'impossible
à déchiffrer. Le site web utilise ce témoin
pour garder la session ouverte. Certains
sites accordent une limite en temps et la session se ferme automatiquement si
votre ordinateur demeure inactif pour plus de quelques minutes. Vous êtes alors obligé de vous authentifier à
nouveau et ouvrir une nouvelle session.
Les institutions financières utilisent ce type de témoin.
Si vous êtes branché à un magazine ou un
journal, vous voulez peut-être retourner à ce site sans être obligé de vous
authentifier à chaque fois. Ces témoins
ont habituellement une date d'expiration d’un an et sont mis à jour chaque fois
que vous accédez au site. Si vous fermez
la session en utilisant le bouton pour fermer la session, le site supprimera le
témoin selon le protocole établi pour la fermeture de session. Si vous fermez la fenêtre en cliquant sur le X rouge
en haut de la fenêtre, le témoin demeurera dans votre cache de témoins. C'est ici que les paramètres de votre
fureteur entrent en ligne de compte.
Lorsque vous utilisez un des trois
fureteurs mentionnés ci-haut, il existe un paramètre qui permet de supprimer
tous les témoins et fichiers temporaires lorsque le programme est fermé. Rappelons que si vous avez 2 instances du
programme ouvertes (2 sessions internet différentes), le programme est
considéré fermé lorsque les 2 fenêtres sont fermées. Par exemple si une fenêtre pointe à Google et
l'autre à votre compte bancaire, lorsque vous fermez la fenêtre de votre institution
financière, les témoins ne sont pas supprimés puisque le fureteur pointe encore
à Google dans une autre fenêtre. Si vos
paramètres ne suppriment pas les témoins à la fermeture du programme, les
témoins sont encore dans le cache des témoins lorsque vous fermez le programme.
Voici pourquoi il est important de fermer la session : la
procédure de fermeture de session du côté du serveur envoie une commande à
votre fureteur de supprimer le témoin associé à la session en cours. C'est ici que l'endroit où vous êtes a une
importance. Si vous êtes à la maison sur
un réseau câblé, l’accès à votre compte bancaire est relativement en sécurité puisque les institutions
financières utilisent maintenant l'authentification à deux niveaux, c.-à-d.
votre identifiant personnel avec mot de passe au premier niveau et l'adresse
MAC de votre ordinateur au deuxième niveau.
Les chances qu'un pirate informatique puisse s'infiltrer dans votre
ordinateur et copier le témoin de la session sont minces (mais non impossible), puisque vous gardez votre coupe-feu activé
en tout temps et votre antivirus à jour.
Si vous utilisez une connexion sans fil à la maison, le même
raisonnement s'applique puisque la portée d'un réseau sans fil est d'environ
100 mètres dans des conditions idéales, ce qui laisse une poignée de voisins à
l'intérieur de la portée. Mais si vous
êtes dans un café Internet, tout le monde est à l'intérieur de la portée du
réseau sans fil et un pirate informatique peut utiliser un renifleur de paquet
pour intercepter tout ce que vous faites sur votre ordinateur. Si vous êtes à la bibliothèque sur un
ordinateur d'emprunt, il y a un risque élevé d'oublier de fermer votre session
avant de quitter cet ordinateur. C'est
pourquoi l'endroit où vous êtes fait une différence.
Pour revenir à vos intentions, si vous
visitez le site d’un magazine ou d'un journal, même si quelqu'un copie votre
témoin de session, le seul dommage qu’il peut faire est de télécharger un
commentaire quelconque sous votre nom dans la section Commentaires d'un
article, mais les commentaires sont habituellement révisés avant d'être
publiés.
Facebook a ajouté une
caractéristique intéressante il y a quelques années qui permet de fermer une
session à distance; au cas où vous auriez oublié de fermer votre session à la
bibliothèque par exemple. WikiHow
explique comment ici.
Pour être en sécurité en tout
temps, prenez l'habitude de supprimer votre cache Internet suite à une visite à
un site sécurisé. Voici comment
procéder:
Dans Google
Chrome:
Cliquez sur le menu et cliquez Paramètres
Choisissez
Affichez les paramètres avancés...
Cliquez
sur le bouton Effacer les données de
navigation...
Mettez un
crochet à Effacer l'historique de
navigation, Effacer l'historique des téléchargements, Supprimer les cookies et
autres données de sites et de plug-in, vider le cache. Cliquez sur le bouton Effacer les données de navigation.
Dans Internet Explorer:
Cliquez sur Outils,
Options Internet
Cliquez
sur le bouton Supprimer...
Ensuite,
cochez tous les boites sauf la première.
Cliquez sur
le bouton Supprimer.
Dans Firefox
Cliquez sur
le bouton Firefox et Options. Sélectionnez le paneau Privacy.
Réglez Firefox
will: à Use
custom settings for history.
Cochez
Accept cookies from
sites pour permettre les témoins.
Réglez Keep until à: I close Firefox: Les
témoins seront supprimés lorsque vous fermerez Firefox..
Maintenant que vous savez comment
ça fonctionne, prenez l'habitude de fermer la session lorsque vous vous
branchez à un site sécurisé. Et ça ne se
limite pas à votre site bancaire mais à tous les sites où vous faites des
transactions financières comme des commandes postales, eBay, Amazon et leurs
semblables.
Si
vous désirez en savoir plus sur ce qu'un pirate informatique peut faire avec un
témoin, lisez cet article de Wikipédia sur le détournement
de cookie.
Quelques liens intéressants:
________________________________________________________________________
English version
Should you log off or just close the
browser
When you are
on a secure site like your financial institution, Facebook, online email
account and the likes, should you click the logoff icon to disconnect or is
closing the browser window sufficient?
It all depends on your browser settings, the site you are visiting, your physical location and your intentions. Confused? Let’s demystify what happens when you log onto a site that requires you to authenticate, look at different browsers and types of site you are connecting to. Then we’ll take a look at your location and your intentions.
Let’s start by limiting browser selection to the 3 most popular browsers: Google Chrome (44%), Internet Explorer (23%) and Firefox (19%). We will not be looking at Apple's Safari, which comes in fourth with 9.5% (source:StatCounter.com).
Regardless of the browser you are using, secure sites use a cookie to record your session. If authentication occurs from a secure page (i.e. the URL starts with HTTPS) the cookie is sent to your computer in encrypted form which makes it nearly impossible to read. The website uses that cookie to keep the session open. Some sites will give it an expiry time so that if your computer is idle for several minutes, the session expires and you need to sign on again and open a new session to reconnect to the site. Financial institutions use this type of cookie.
If you are connecting to a magazine or newspaper site you may want to stay connected so that you don't have to sign on every time you access. These cookies expire in a year from access and usually update every time you access the site. If you log off using the log off button, the site will tell your browser to delete the cookie as part of the logoff process. If you close the window by clicking the red X at the top of the window, the cookie is not deleted but the session is closed from the server side, leaving the cookie in your cookie cache. This is where behaviour based on browser settings may differ.
When using any of the top 3 browsers, there is a setting to delete cookies and temporary Internet files when the program is closed. Keep in mind that if you have more than one session of your browser open (2 separate browser windows), the program is considered closed only when you close all instances of the program. For example, let's say you have a window open with Google and a separate window connected to your bank account. If you close this window, and not the Google window, the program is still open and the cookies are not deleted. If your browser settings don`t delete cookies when closing the session, the cookie stays in your cookie cache when you close the program.
Why it is important to log off: the logoff process on the server sends a command to your browser to delete the specific cookie associated with your session. This is where your physical location comes into play. If you are at home on a wired connection, access to your bank account is relatively safe since banking sites use two-tier authentications where your credentials are matched to your computer MAC address. The chances of a hacker gaining access to your home computer and copying your session cookie are very slim (although not impossible) because you keep your firewall on at all times and your antivirus program up to date. If you are using a wireless connection at home, the same reasoning applies since the range of a wireless network is roughly 100 meters in ideal conditions, which leaves only a handful of your neighbours within range. But if you're at an Internet café, everyone is in range and hackers can easily "sniff" (intercept) packets on Wi-Fi. If you are at the library on a borrowed PC, the risk of forgetting to close the session before someone else takes over that borrowed PC is very high. That's why your physical location makes a difference.
Going back to your intentions, if you are visiting a magazine or newspaper site, even if someone copies your session cookie, the only damage might be in the feedback section of an article, and comments are in most cases monitored before posting.
Facebook added a feature a few years ago that allows you to log off a computer remotely; just in case you forgot to log off properly at the library for example. WikiHow explains how to do it here.
To be on the safe side all the time, get in the habit of deleting your browser cache after visiting important secure sites. Here is how to do it:
In Google chrome:
Go to the settings menu and choose Settings
Select Show Advanced Settings
Click on Clear browsing data
Checkmark Clear
browsing history, Clear download history, Delete cookies and other site and
plug-in data, Empty the cache.
Click Clear browsing
data button.
In Internet Explorer:
Go to Tools,
Internet Options
Click Delete...
Checkmark all boxes except
the first:
Click Delete button.
In Firefox
Click on the Firefox
button and then Options. Select the Privacy panel.
Set Firefox
will: to Use
custom settings for history.
Check mark Accept cookies from sites
to enable Cookies, and uncheck it to disable them.
Set Keep until
to: I close Firefox:
The cookies that are stored on your computer will be removed when Firefox is
closed.
Now that
you know how it works, get in the habit of logging off secure connections. This
is not limited to your banking site but any site where you make financial
transactions like mail orders, eBay, Amazon and the likes.
To learn more about what hackers can do with
cookies, read this Wikipedia article on Session hijacking.
A Few links of interest:
Skydiving into Bronco's stadium
Not your average home
No comments:
Post a Comment