Bir web sitesine, uygulamaya ya da sisteme giriş yaptıktan sonra belirli bir süre hiçbir işlem yapmazsak sistemin bizi otomatik olarak çıkışa atmasına Idle Timeout (Oturum Zaman Aşımı) denir.
Idle Timeout Neden Kullanılır?
Idle Timeout'un temel amacı güvenliği artırmaktır.
Başlıca nedenler:
- Ortak bilgisayarlarda hesabın açık kalmasını önlemek
- Yetkisiz erişim riskini azaltmak(Bilgisayarımıza başka birinin bizim rızamız dışında erişimini engellemek)
- Oturum çalma (session hijacking) etkisini sınırlamak
- Hassas ve önemli verilerin korunmasını sağlamak
Örneğin: Bir bankacılık sitesine girdin ve bilgisayardan uzaklaştın. Eğer Idle Timeout yoksa gelen biri hesabına rahatça erişebilir. Idle Timeout varsa sistem seni otomatik çıkışa atar.
Idle Timeout Nasıl Çalışır?
Genellikle sistem şu mantıkla çalışır:
- Kullanıcı giriş yapar
- Sistem son işlem zamanını kaydeder
- Belirlenen süre boyunca (örneğin 5–10 dakika) işlem yapılmazsa(süreyi biz değiştirebiliyoruz)
- Oturum geçersiz hale getirilir
- Kullanıcı tekrar giriş yapmak zorunda kalır
Bu süre sunucu tarafında kontrol edilir.
Idle Timeout Olmazsa Ne Olur?
Idle Timeout uygulanmayan sistemlerde:
- Açık unutulan oturumlar risk oluşturur
- Session hijacking saldırıları daha etkili olur
Session Hijacking bir saldırganın kullanıcıya ait geçerli bir oturum bilgisini ele geçirerek yetkisiz erişim sağlamasıdır.
- Özellikle public veya iş bilgisayarlarında ciddi güvenlik sorunları çıkar
Bu yüzden OWASP gibi güvenlik rehberlerinde Idle Timeout önerilir.
OWASP web uygulamalarını daha güvenli hale getirmek için güvenlik risklerini ve çözüm yollarını yayınlayan açık kaynaklı bir güvenlik projesidir.
Sonuç
Idle Timeout küçük gibi görünen ama siber güvenlik açısından çok kritik bir mekanizmadır. Özellikle kimlik doğrulama oturum yönetimi ve hassas veri içeren sistemlerde olmazsa olmazdır.
Bir kullanıcı olarak bazen sinir bozucu gelse de bir siber güvenlik bakış açısıyla bizi koruyan bir önlemdir.