Ripristino della sessione e problemi di privacy
Ritorno nuovamente su un argomento che circa un anno fa ebbi modo di affrontare con il buon Giuliano Masseroni nel corso di uno skypecast.
Il ripristino della sessione, feature implementata di default su Firefox 2, ha finalmente risolto il problema della perdita delle pagine aperte e delle sessioni autenticate a causa di un crash del browser, di un riavvio forzato del browser o della macchina, di un blackout.
Ottima feature, nulla da ridire, se non c'era bisognava inventarla. Peccato che non esiste una opzione che mi permetta di disabilitarlo con semplice click.
Perche' disabilitare il ripristino della sessione?
Non e' un invito a farlo, ma in circostanze eccezionali possono verificarsi situazioni per cui l'utilizzo di questa feature puo' rappresentare un problema per la privacy.
Il problema principale sono le sessioni autenticate che possono essere ripristinate all'apertura del browser. Ne parlavo lunedi a Roma con Alessio Giorgini di EvolutionBook.
Per fare un esempio, se in ufficio da una postazione comune mi autentico al mio account di posta o alla mia banca, e a causa di un blackout sono costretto ad abbandonare la postazione, quando sara' possibile riprendere l'attivita' lavorativa la prima persona che aprira' il browser invece di caricare la pagina principale potra' tranquillamente optare per il ripristino dell'ultima sessione (chiunque lo farebbe) e avere accesso alle mie informazioni personali. Cosa ancor piu' grave, la password principale non e' in grado di proteggere le sessioni.
Per disabilitare il ripristino della sessione e' sufficiente editare attraverso about:config il valore alla voce browser.sessionstore.enabled impostandolo su false. In alternativa, ho appena scoperto che esiste da piu' di un anno, utilizzare l'estensione Session Manager che non ho ancora provato.
Spero proprio che la versione 3 preveda questo inconveniente.
Technorati tags: Firefox, Ripristino Sessione, Privacy
Il ripristino della sessione, feature implementata di default su Firefox 2, ha finalmente risolto il problema della perdita delle pagine aperte e delle sessioni autenticate a causa di un crash del browser, di un riavvio forzato del browser o della macchina, di un blackout.
Ottima feature, nulla da ridire, se non c'era bisognava inventarla. Peccato che non esiste una opzione che mi permetta di disabilitarlo con semplice click.
Perche' disabilitare il ripristino della sessione?
Non e' un invito a farlo, ma in circostanze eccezionali possono verificarsi situazioni per cui l'utilizzo di questa feature puo' rappresentare un problema per la privacy.
Il problema principale sono le sessioni autenticate che possono essere ripristinate all'apertura del browser. Ne parlavo lunedi a Roma con Alessio Giorgini di EvolutionBook.
Per fare un esempio, se in ufficio da una postazione comune mi autentico al mio account di posta o alla mia banca, e a causa di un blackout sono costretto ad abbandonare la postazione, quando sara' possibile riprendere l'attivita' lavorativa la prima persona che aprira' il browser invece di caricare la pagina principale potra' tranquillamente optare per il ripristino dell'ultima sessione (chiunque lo farebbe) e avere accesso alle mie informazioni personali. Cosa ancor piu' grave, la password principale non e' in grado di proteggere le sessioni.
Per disabilitare il ripristino della sessione e' sufficiente editare attraverso about:config il valore alla voce browser.sessionstore.enabled impostandolo su false. In alternativa, ho appena scoperto che esiste da piu' di un anno, utilizzare l'estensione Session Manager che non ho ancora provato.
Spero proprio che la versione 3 preveda questo inconveniente.
Technorati tags: Firefox, Ripristino Sessione, Privacy
postato da Gianni Amato @ 01:56
4 Commenti
4 Commenti:
ottima segnalazione,sono poco sensibile di solito a queste questioni perchè al momento uso praticamente quasi sempre pc miei e non condivisi,cmq buono a sapersi.
Le opzioni che servono a prevenire questo comportamento dovrebbero essere :
1. browser.sessionstore.privacy_level ( http://kb.mozillazine.org/Browser.sessionstore.privacy_level)
2. browser.sessionstore.postdata (http://kb.mozillazine.org/Browser.sessionstore.postdata)
dalla 1 leggo :
"
Possible values and their effects
0 : Store extra session data for any site.
1 : Store extra session data for unencrypted (non-HTTPS) sites only. (Default)
2 : Never store extra session data.
Recommended settings
Leaving this preference set to 1 will avoid re-submitting data to secure sites — such as banks and online stores — and prevents duplicate transactions from taking place. Use caution when setting this preference to 0."
dalla 2 leggo :
"Possible values and their effects
-1 : No limit on amount of stored POST data
0 :Do not store POST data in saved sessions (default)
(any positive integer) : Store this many bytes’ worth of POST data per saved history entry in saved sessions."
altra opzione che potrebbe essere d'aiuto è browser.sessionstore.resume_from_crash : impostandola a false viene negata al riavvio dopo un crash , la possibilità di ripristinare la sessione precedente.
altra opzione interessante è browser.sessionstore.resume_session_once (http://kb.mozillazine.org/Browser.sessionstore.resume_session_once)
che serve a prevenire che una stessa sessione possa essere ripristinata più di una volta.
Questo per dire che potrebbe non essere necessario disabilitare completamente questa feature introdotta in firefox 2 ;)
@christian: non si sa mai :P
@jj: grazie per la delucidazione
Grazie per la dritta, corro subito a fare le modifiche necessarie per la disabilitazione!
Alessio
Posta un commento
<< Home page