Het belangrijkste advies mist hier: Leer mensen aan om uit te loggen als ze met een sessie klaar zijn, want dan vervalt die sessiecookie ook. Zolang je niet uitlogt, kan iedereen die deze sessiecookie bemachtigd onder jouw naam met de sessie verder gaan.

Te veel mensen sluiten gewoon de browservenster of de app als ze klaar zijn met een inlogsessie.

Ik gebruik (privé, Firefox, maar het bestaat ook voor andere browsers) de add-on Cookie Autodelete. Daar kan je instellen dat cookies automatisch worden verwijderd na het sluiten van de laatste tab waarin een website wordt of is getoond, en optioneel na een verandering van het getoonde domein in een nog geopende tab (dat kan soms problemen opleveren), met een in te stellen vertraging op het verwijderen. Het hangt mede af van hoe iemand precies tabs gebruikt, maar dit kan het aantal sessiecookies dat blijft hangen substantieel verminderen.

Gebruikers melden niet af. Punt. Ik snap het helemaal, en ik onderstreep het ook volledig, maar ze doen het niet. Ze sluiten niet eens de browser af; ze klappen gewoon die laptop dicht.
Dat probleem speelde vroeger al met Terminal Server/Citrix, al die hangende sessies. Ongedacht welke bewustwordingscampagnes je er ook tegenaan gooide; tot zelf mensen zelf op de blaren laten zitten (instellingen weg, inloggen blokkeren etc), aan het einde van de dag 20+ hangende sessies.

Ik denk dat je blij mag zijn als mensen vandaag de dag uberhaubt de browser afsluiten, laat staan zich dan eerst afmelden en dan afsluiten.

En / of stel je browser in dat die bij het afsluiten cookies verwijderen dan moet je vanzelf opnieuw inloggen bij een volgende keer. Dan kan je het ook niet meer vergeten.

Dit advies is een stuk beter, en timers voor je totale cookielijst. Je krijgt vaak dat er een bewaartijd vanuit de makers van de cookies bestaat, maar je kunt ook op organisatie niveau deze cookie sessietijden verkorten.
Want om BYOD te verbieden, dan zorg je dat allerlei integratie ook gelijk stuk gaat lopen. Want je organisatie bestaat niet in een vacuum.

Deze opmerking maakt een oude constatering die ik ooit deed weer wakker bij me. Niet een waar men nu praktisch wat mee kan, lijkt me, maar misschien toch interessant. Een nogal lange reactie, maar goed.

HTML en HTTP zijn ooit ontworpen bij CERN. Het doel was om documentatie, die her en der verdeeld was over verschillende servers van verschillende groepen wetenschappers die daar werkten, beter toegankelijk te maken. Het is een gedistribueerde hypertext-toepassing. Hypertext is tekst met hyperlinks naar andere teksten. Dat bestond op zich al lang, de toevoeging die met HTML+HTTP gedaan werd was dat het niet meer allemaal op dezelfde computer/server moest staan. Het HT in HTML en HTTP staat voor HyperText. Dat was dus helemaal niet ontworpen voor webapplicaties, maar voor statische pagina's met documentatie. Dat is als een gek aangeslagen op het internet, dat werd het world wide web.

Als je daar dan toch applicaties mee gaat maken moeten voor de server de verschillende requests van browsers niet allemaal op zichzelf staan maar moeten ze samen een sessie vormen en moet sessiestaat bijgehouden kunnen worden, waaronder het bijhouden of iemand is ingelogd of niet. Het moest stateful worden in plaats van stateless. Dus kwamen er cookies, inclusief sessiecookies die alleen in het werkgeheugen worden bewaard. Delen van wat getoond wordt vervangen werd met framesets opgelost, die weer in onbruik zijn geraakt, en natuurlijk is JavaScript toegevoegd om ook in de browser programmalogica uit te kunnen voeren. Later werden er mogelijkheden toegevoegd om HTTP-requests vanuit JavaScript te initiëren en delen van webpagina's te vervangen. Dat maakte de framesets overbodig, maar de later bedachte iframes, ingebed in een HTML-pagina, zijn wel gebleven.

Toen ik eind jaren '90, begin jaren 2000 als ontwikkelaar betrokken was bij een voor die tijd grote webapplicatie waarop klanten inlogden, nog gebaseerd op framesets, was ik tegelijk enthousiast over de mogelijkheden en verbijsterd over hoe we eigenlijk technologie waren gaan gebruiken die eigenlijk helemaal niet geschikt was voor interactieve applicaties: dat HTML en HTTP daar eigenlijk niet voor ontworpen waren, maar voor statische inhoud, leverde zeker in het begin problemen op waarvan we nog moesten leren hoe we daar omheen moesten werken.

Ik maakte rond die tijd ook kennis met Linux, en met het feit dat XWindows een client-server-architectuur had: de applicatie kan op de ene machine draaien terwijl het venster op een andere wordt getoond. De gedachte drong zich toen aan me op dat het voor applicaties die je vanaf het internet draaide beter was geweest om zo'n soort protocol (maar niet de oude meuk die XWindows toen al was zelf) te ontwerpen, in plaats van het in een stateless protocol voor statische hypertext te forceren.

En naarmate het toch verder werd ontwikkeld heb ik me keer op keer verbaasd over hoe ver men toch wist te komen met dat eigenlijk ongeschikte hypertext-protocol.

Maar wat jij nu noemt, dat een sessie niet netjes wordt beëindigd als je de applicatie afsluit — en met applicatie bedoel ik de webapplicatie en niet de browser waarin die getoond wordt — is een rechtstreeks gevolg van dat die cookies een truc zijn om met een stateless protocol toch iets voor elkaar te krijgen dat stateful is. Dat men een protocol gebruikt voor iets waar het oorspronkelijk helemaal niet voor ontworpen was wreekt zich dus nu nog altijd.

Ik vind het nog steeds bizar hoe de mensheid eindeloos verder blijft gaan op wat eigenlijk een verkeerde weg is, en nooit eens een stapje terug doet om een betere weg in te slaan, hoe indrukwekkend het ook is hoe ver men op die eigenlijk ongeschikte weg weet te komen. Daar zijn we helaas te competitief voor ingesteld, want competitie is knokken om voorsprong te bemachtigen en te behouden, en voorsprong raak je kwijt als je stapjes terug zet, ook wanneer dat uiteindelijk tot een beter resultaat leidt.

Breder getrokken dan dit ene onderwerp vermoed ik dat precies dat, eindeloos door knokken op eigenlijk een verkeerd ingeslagen weg omdat je anders je voorsprong verliest, een belangrijke oorzaak is van de vele, vele securityproblemen die de IT heeft. Een cultuur die veel minder op competitie en veel meer op robuustheid gericht is zou mij aanzienlijk beter bevallen.

De meeste sessie token diefstal gebeurt via phising en fake browser interactie ook wel Browser-in-the-Middle of BiTM genoemd. Als mensen daar slachtoffer van zijn kunnen ze pogen uit te loggen wat ze willen maar dat is ook enkel fake functionaliteit. Dus ja zeer goed om mensen altijd bij te brengen uit te loggen maar honderd keer belangrijker is dat er gekeken wordt waar ze inloggen en wat voor extensies, addons er mee opstarten. Want daar zit de meeste ellende.

Kansloos.

Zolang mijn eigen spullen 3 klasses beter zijn als de meuk die de baas mij aansmeert, blijf ik mijn spullen gebruiken. Ik ben niet achterlijk

Zal lastig gaan, wanneer de baas op het netwerk geen BYOD devices meer toe staat, en dit technisch afdwingt.

Nog lastiger als het een bedrijfs policy is en niet enkel technisch afdwingt maar in een handboek, contract laat vastleggen.
Medewerkers after all bepalen niet hun werkgevers beleid die volgen het. De gene die daar tegenin gaan vinden al heel gauw uit dat ze voortaan hun 3 klasse spullen naar huis mogen slepen. Na het gesprek met HR dat is.

Mag ik eens vragen, je rijdt waarschijnlijk wel een auto van de zaak of heb je deze ook zelf geleverd omdat deze beter is dan degene die de werkgever levert?

Beste 'Anoniem: Kansloos', ongetwijfeld ben je niet achterlijk maar je kunt je je wel afvragen of jouw interpretatie van '3 klasses beter' ook dan 3 klasses veiliger is.

Dus: Waarom zijn jouw spullen 3 klasses beter?

Aan de menselijke kant:
- Inderdaad leren om netjes af te loggen.

Aan de technische kant:
- Zorg ervoor dat er een idle timeout vanaf de server op de sessie zit.
- En/of verwijder automatisch alle cookies bij het sluiten van de browser.

Maar wat ik absoluut niet ga accepteren is dat als ik bedrijfsmail op mn prive telefoon wil lezen de bedrijfs systeembeheerders dan remote mijn telefoon moeten kunnen beheren (onder Android kunnen Outlooken Teams zich verregaande rechten toeeigenen als je accoord gaat). Dus als de baas wil dat ik onderweg z'n mail lees zorgt hij maar voor eigen apparatuur.

Sessie-Cookies en HTML zijn niet geschikt voor hosting van applicaties op een veilige manier, gewoon niet doen dus.
Lekker makkelijk applicaties vanuit de browser... dat is een veter uit de brievenbus ook voor als je je sleutel niet bij je hebt, maar dat doen we nu ook niet meer.. net als recreatie-plutonium enzo of roken.

Ach ja, die van de baas zijn altijd slechter.....
Vroeger toen ik nog systeembeheer werk deed ( zit nu in de cybersecurity hoek) klaagden mensen ook alijd dat de systemen op het werk traag waren, totdat ik af en toe bij de mensen thuis op hun pc moest inloggen omdat ze niet konden inloggen omdat bijv de citrix client niet werkt of wat dan ook. Nou, ik heb nog nooit zulke trage pc's met meuk mee gemaakt... Blij dat die tijd voorbij is en alleen managed devices worden toegelaten en geen BYOD / Prive meuk met al hun gevaren meer.....

Dus dat.. Daarnaast gebruiken sommige personen een Linux laptop als open source medewerker en geen windows, dan word het al snel afwijkend, dus niet supported.

@ anoniem 11:38 uur:


Mooi inzicht!

Als ik voor een baas werk, dan levert hij maar de spullen die ik nodig heb (laptop, usb-kaart, telefoon e.d.). Die gebruik ik dan alleen voor het werk dat ik voor hem verricht.

Als ik voor een schildersbedrijf zou gaan werken dan zorgt mijn baas ook maar voor de kwasten, de verf en de terpentine.

Mijn eigen spulletjes gebruik ik privé en daarmee klaar.

Succes met het vinden van medewerkers als je byod niet meer gaat toestaan. Er zijn een hele grote groep mensen die je dan buiten gaat sluiten.

Tenzij je voor iedereen een tablet + telefoon(zowel android als ios) en een werkpaard laptop/pc (met het juiste OS) aanschaft.

Pff.
Zou er nog bij moeten komen dat ik mijn prive spullen voor werk moet gebruiken.
een keer gedaan met mijn laptop (ok, is alweer jaren terug)
wat een ellende om mijn eigen laptop weer op mijn eigen netwerk thuis weer aan de praat te krijgen..

De menselijke factor: hoe overtuig je mensen op een manier dat ze hun gedrag veranderen? Mensen rationaliseren hun gedragingen. Voorlichting leidt tot cognitieve dissonantie, kinderen en jongeren kan je misschien nog iets leren, volwassenen overtuigen hun gedrag aan te passen, werkt anders.

Op verjaardagen wordt je bestookt met vragen over je vakinhoudelijke kennis, en deze mensen passen hun gedrag vaak wel aan. Les: in sociale netwerken (peer group) staat men wel open voor andere manieren in het leven te staan met computergebruik.

Vanuit dit gegeven is er wel halfbakken geëxperimenteerd op de werkvloer, een werkplek voor een net aangenomen (onbekend gezicht) sociabel kwebbelkous als direct beschikbare helpdeskmedewerker een tijdje op de meest ernstige afdelingen fysiek laten zitten, vooral direct naast die ene die blijkbaar nogal in aanzien staat, en een hele afdeling meesleept in onverantwoord systeemgebruik.

Iedereen die wel eens training of voorlichting geeft kent ze: die figuren (meestal zijn het er een paar) die al met hun hakken in het zand staan en oubollige grapjes gaan maken nog voor dat je je voorgesteld hebt. Dan is er ook nog het generatieverschil, de GenZ die vijftigers maar botte lullen vinden, en aaarrrrch.

Misschien maar weer eens een topic "wat was de verjaardagsvraag?" openen om de moed er nog een beetje in te houden, en op ideeën te komen over training en voorlichting die gedragsverandering tot gevolg heeft, die de sociale standaard wenselijk-onwenselijke gedragingen op de werkvloer echt kan beïnvloeden. Mijn ervaring is overigens ook dat dit wel eens met afgunst over salariëring te maken heeft.

Sessiecookies blijven want daar varen de big techs wel bij.
Netjes uitloggen doen alleen degenen die geleerd hebben de deur achter hun kont dicht te doen.
Hadden onze ouders best wel een punt mee ;-)

Yep, bekend probleem. En je kan ze erop aanspreken, ze leren het niet. je kan blijven proberen dat te veranderen, maar helaas, geen effect.

Maar wel een touwtje achter de brievenbus hangen, want dat kind raakte altijd weer de sleutel kwijt (werd met geweld afgepakt door bullebakken uit de hogere klasse) en zo'n kind op straat laten zwerven of op laten vangen door pedofiele buurman is ook zoiets dat je liever niet doet.

Je hebt het over wil en niet moet en in dat geval is het *jouw* keuze om er uberhaubt aan te beginnen.
En nee we hebben niet via Outlook en Teams verregaande rechten dat komt door dat je inlogt met een bedrijfsmatig onmicrosoft account waar een policy group in staat. Zou je uitloggen zonder Teams of Outlook te verwijderen dan kan men op afstand niks. Maar je zou dat niet eens moeten willen 1 als het al nodig is zorg voor bedrijfsmiddelen maar 2 denk in godsnaam na waarom zou je na werk of richting werk bereikbaar moeten zijn.

Er zijn maar heel weinig beroepen waar dat noodzakelijk is zelfs in de IT. Als er server issues zijn ga ik ook niet mijn mail monitoren dan krijg ik daar een alert voor in een specifieke alert app of men belt me wel als ik op een afroep dienst zat. Anders vertrouw ik erop dat mijn collega's de boel in de hand hebben als er toch iets gebeurd. Maar de meeste mensen zijn simpel weg verslaaft aan in de know how blijven, zijn onbewust control freaks of slachtoffer van fomo. Check je contract of je bereikbaar moet zijn zo niet dan ben het simpel weg niet of beperk het tot 1 moment na of voor je werk.

En het zal je verbazen hoeveel werkgevers of je manager het niet eens een probleem vinden als je niet bereikbaar constant bent of zelfs aanmoedigen tot dat gedrag. Er is veel meer bewuswording in die groep omtrent gezond werk en privé balans de laatste decenia. Durf te praten erover met je werkgever, manager dat taboe (ook in de IT) moet echt eens doorbroken worden. Niks maakt mij gelukkiger als IT manager tijdens recruiting dan kandidaat profielen krijgen waar staat dat ze offline hobbies hebben in plaats van passie voor IT, programmeren etc.

Algemeen advies aan beginnende ITers van senior ITer in aanvulling van de quote begin *nooit* aan ondersteunen van privé middelen van je collega's gebruikers als het niet in je contract staat dat het onderdeel van de taken is. Die hulp is zelden wederzijds. Hoevaak heb je als ITer hulp gevraagd aan een collega voor privé zaken via het bedrijf waar je werkt? Je bent niet de lokale pc boer stop acting like it. Je krijgt er enkel meer gezeik door het kost je veel te veel tijd en de goodwill die je maakt is verwaardeloosbaar omdat je die toch al maakt als ze weer eens keer er niet uitkomen met bedrijfsmatige middelen.

Wil je echt goodwill kweken leer je collega's efficienter werken *met de bedrijfsmiddelen*. Like "Hey ik zie dat je al je browser tab opnieuw handmatig opent na een crash wist je dat je met Ctrl + Shift + 'T in deze browser je vorige sesie ook kan herstellen?" "Ik zie dat je all je schermen minimaliseert handmatig wist je dat je met Windows + M alles tegelijk kan minimaliseren en met Windows + Shift + M alles weer naar voren kan halen wat geminimalseerd is?"

Zeg nooit dat het beter is om x dan y te doen tijdens tips, geef ze de optie ervoor het zijn tips geen must knows. Je wilt ze slimmer doen voelen niet dommer. Dit zijn dingen die ze de rest van hun carrière mee kunnen nemen als ze het fijn vinden werken en dat is tig meer waard dan weer eens een traag systeem van thuis aan te pakken voor een fractie van je tijd. En juist met die goodwill kun je mensen overtuigen dat sommige minder snelle zaken noodzakelijk zijn. Zoals netjes overal uitloggen als je maar genoeg aanzien hebt opgebouwd. En het kan maanden of zelfs jaren duren voor zo iets algemene kennis en procedure wordt *uit eigen wil*. Leer om dat te accepteren voor jezelf.

En als ze al dat soort adviezen gaan rondvertellen aan collega's zonder jouw credit ervoor te geven just be ffing happy en zeg er niks van. Want die kennis heeft dus zichtbare retentie opgeleverd en iemand heeft zichzelf zojuist verworven als een onbedoeld hulpje van je.

Niet ons probleem dat is iets voor HR. Moment van solliceren en introductie in bedrijf hoor je als kandidaat medewerker door te hebben waar je mee gaat werken. Sterker nog als je verstandig bent heb je je al lang ingelezen erin voor je uberhaut gaat solliciteren. Jouw voorkeur als medewerker doet er niet toe tenzij je in een positie zit dat je zeggenschapp erover hebt of het specifek wordt gevraagd aan je.

Als wij ITers aannemen voor server beheer wat Linux only is enkel RPM based en terminal only sluiten we ook heel veel mensen uit dat heet *specialisatie* daar is werkelijk niks mis mee. Daarnaast professionals in enig vak gebied maken zich de toegewezen tools eigen in plaats van de omgeving die zich moet aanpassen aan hun. De uitzonderingen daarin zijn de select few die zo goed zijn in hun specifieke expertise dat bedrijven constant voor ze hunten op de werkmarkt alsof het voetbal transfers zijn. De meeste zullen in hun leven nooit daar mee te maken krijgen nog die status verwerven.

En enig notie hoeveel alleen al ITers in bedrijven moeten werken met middelen die ze privé nooit zouden gebruiken of alleen al de manier van er mee werken? Thuis heb ik een ton aan scripts, functieblockers op mijn systemen lopen eigen zoekmachine eigen gecompileerde browser zakelijk heb ik wat het bedrijf noodzakelijk acht los van wat ik wil.

Overtuig je management dat iets noodzakelijk is en het word IT hun probleem om te faciliteren of onderzoeken op implementatie. That is fine maar tot die tijd heeft jouw voorkeur geen enkele waarde voor enige ITer in een bedrijf.

ITers faciliteren bedrijfsmiddelen wat de werkgever toe laat niet de middelen welke een werknemer vraagt.
En die regel geldt ook voor hunzelf.

Dat ligt aan wat bedrijf toelaat. Je kan binnen vijf minuten een compleet linux based systeem op Windows laten draaien via WSL2 middels de hyper-v of los via volledige virtualisatie. Als het bedrijf het maar toelaat. Plus als het nodig is voor je werk dan heb je die middelen al of had je ze tijdens je intake besproken als noodzakelijk.

Mijn eigen BYOD is veiliger dan die van de organisatie waar ik werk. Gebruik als enige Debian en ik weet wat ik doe.

NCSC moet dat eerst dan maar eens gaan zorgen dat dit toegepast wordt bij de overheid, van minister president tot lage ambtenaar.. In de kamer loopt iedereen nog rond met onbeheerde telefoons en laptops.


Je weet dus niet wat je doet.
Een beheerde omgeving is altijd veiliger dan iemand met een Debian laptop die bij bedrijfs spullen wil komen. OS zegt niets over de veiligheid van de omgeving.

Als je dit echt eens een dag uitprobeert zul je ook vele implementatiefouten gaan opmerken:
1) dat sso je vaak meteen weer inlogt (i.p.v. je de SSO ook uitlogt)
2) dat de uitlog knop helemaal niet blijkt te werken (404 pagina volgt soms)
3) dat de knop alleen client-side iets blijkt te doen (sessie op webpagina wordt helemaal niet gestopt)
4) dat je sessie-id soms al gelekt is via een GET http-url ergens een keer
etc.etc.etc.

Tip: ga ergens werken waar dat niet zo is ;-) Als al je collega's zo werken: zorg dat je niet in IT-security zit daar.

En dat heeft IT _volledig aan zichzelf_ te wijten.

Ik ben er wel klaar mee om als een gekke henkie elke dag tien minuten op een bootup te gaan zitten wachten.
Dan nemen we lekker de suspend .

Langzame login bouwen, nog gezeik ook om de tweede factor erbij te nemen, en dan maar zeiken dat mensen niet uit loggen.