Net iD NetControl – i detalj

På denna sida beskrivs en funktionen ‘Net iD NetControl’ lite närmare. Texten är uppdelad i två sektionen; först en genomgång hur funktionen arbetar och sist en liten utvikning om Internet Explorer och dess sessionhantering.

NetControl – så funkar det

1) Miljö och aktiva inloggningar

Här har vi en vanlig XP SP3 med IE7. Jag har startat tre IE fönster. I vart och ett har en inloggning skett mot tre olika websiter som kräver klientautentisering med certifikat, Apoteket, Skatteverket och service.secmaker.com.

netcontrol_3_IE7_XP_001

2) Processer

Kikar man i Aktivitetshanteraren ser man tre IE med olika processID’n; 2716, 2960 och 3484.

netcontrol_3_IE7_XP_003

3) Här registrerar Net iD vilka processer som är aktuella

Nu öppnar vi filen %userprofile%\Application Data\iid\iid.cfg och vad hittar vi där om inte just dessa processID’n registrerade under sektionen [SSL Sessions]

netcontrol_3_IE7_XP_002

Notera att dessa processID’n hamnar i %userprofile%\Application Data\iid\iid.cfg endast om siten ifråga ligger under ”Trusted Sites” eller ”Local Intranet”.

Ligger siten i zonen ”Internet” hamnar istället PID i ett skrymsle med t.ex. denna sökväg:

C:\Users\jonoho.SECMAKER\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\jonoho.SECMAKER\AppData\Roaming\iid\iid.cfg

4) Kort ur

Låter två fönster vara öppna och minimerar ett av dem. Sen rycker vi kortet. Poff, alla fönster stängs!

netcontrol_3_IE7_XP_004

5) Spåren i tracefilen

Slutligen öppnar vi tracefilen och letar på raden med ”Card removed” och rullar sedan ner en liten bit och letar efter ”NetControl”.

Mycket riktigt, där finns våra tre processID’n uppradade tillsammans med orden ”Should stop iexplore.exe”.
Notera att om man har en skakig kortläsare/kortläsardrivrutin så kan nedstängning av webbläsaren helt utebli då eventet ”kort ur” helt missas av drivrutinen.

netcontrol_3_IE7_XP_005

netcontrol_3_IE7_XP_006

Internet Explorer 6, 7, 8 och sessionshantering

Vilken information är då en del av en session? Det är fyra delar, inte bara cookies:

a) Session cookies

b) SessionStorage

c) HTTP Authentication (e.g. Digest or Basic HTTP credentials)

d) HTTPS Client Certificates (e.g. sites that use certificates or SmartCards)

För att rensa klientens sessionsdata rörande certifikat nyttjade för HTTPS-uppkopplingar borde alla webbapplikationer ha följande logik kopplad till en logoutknapp, stöds av IE6 SP1 och senare: document.execCommand(”ClearAuthenticationCache”, false);

Läs mer detaljer om detta:
http://blogs.msdn.com/ieinternals/archive/2010/04/05/Understanding-Browser-Session-Lifetime.aspx

Men inte alltid är det så att användarna kommer ihåg att klicka på ”Logga ut” på webbsidan eller stänga IE med krysset. De tar sitt kort och går och det kan man ju förstå, ibland är det bråttom i vården. Kör man alla sina webbapplikationer publicerade via t.ex. Citrix med korrekt uppsatt sessionshantering så vore inte detta något problem. Inte heller om man loggar på sin dator med kort och sätter GPO för Lock Workstation. Men så ser det ju inte alltid ut.