Утечка информации о клиентах

Утечка информации о клиентах иногда происходит из-за несовершенства управления сеансом соединения. Большинство коммерческих Web-сайтов дают клиенту возможность начать сеанс, временно отлучиться, а затем вернуться, чтобы его продолжить. Отслеживание «местоположения» клиента во время этого процесса — сложная проблема, которую, однако, можно решить несколькими способами. Например, сервер может использовать технологию cookie (закладки) или идентификатор сеанса в строке URL, чтобы сопоставлять посетителя сайта (клиента) с просматриваемой страницей. При этом окончание сеанса не зависит от времени. Однако закладка может содержать информацию о том, Какие страницы доступны клиенту, что делает ее уязвимой (если закладкой завладеет третье лицо, для авторизованного пользователя последствия могут быть непредсказуемыми). При использовании идентификаторов сеанса в строке URL возникает другая проблема. Можно угадать идентификатор пользователя и просмотреть страницы, которые доступны в его сеансе. Кроме того, с помощью клавиши браузера Назад (в системах общего пользования, какими являются, например, Internet-кафе или библиотеки) можно «подсмотреть» некоторую информацию о предыдущем пользователе. Лучший способ управления сеансом соединения — это сохранение информации о нем в базе данных. Но при этом возникает необходимость построения надежного механизма идентификации пользователей. Политика такой идентификации должна являться частью методики управления сеансом соединения. Обычно кража информации совершается лицом доверенным, имеющим к ней прямой доступ. Если ваш коммерческий сайт работает в extranet или другой сети, опосредствующей отношения юридических лиц, персонал ваших деловых партнеров может быть такой же угрозой данным, как и ваш собственный персонал.