Bem amigos tenho alguns sistemas em produção e apesar de estarem rodando sem maiores intercorrências, ontem fui contactado por um usuário que me relatou um problema ao que tudo indica seja de segurança, ele me relatou que o usuário loga no sistema normalmente e abre o menu principal do sistema até aí ok, mas se o usuário copiar a url do menu e colar em outra aba do browser ele abre normalmente sem passar pelo login. Comecei a testar nos navegadores mais usuais e verifiquei o seguinte:
No IE 10.0.9200.16660:
Copiar a url do menu e colar em outra aba: abre sem passar pelo login (até aí ok pois está logado em outra aba);
Fechar a aba do sistema e colar a url numa nova aba sem fechar o navegador: abre sem passar pelo login (aqui é o problema);
Fechar o navegador e abrir novamente: pede login (aqui ok);
No Crhome Versão 44.0.2403.155 m
Copiar a url do menu e colar em outra aba: abre sem passar pelo login (até aí ok pois está logado em outra aba);
Fechar a aba do sistema e colar a url numa nova aba sem fechar o navegador: abre sem passar pelo login (aqui é o problema);
Fechar o navegador e abrir novamente: abre sem passar pelo login (aqui é o problema maior ainda);
No Firefox 40.0.2
Copiar a url do menu e colar em outra aba: abre sem passar pelo login (até aí ok pois está logado em outra aba);
Fechar a aba do sistema e colar a url numa nova aba sem fechar o navegador: abre sem passar pelo login (aqui é o problema);
Fechar o navegador e abrir novamente: pede login usuário não autorizado (ok)
O que verifico é que dos três três browsers testados o Chrome apresnta a maior falha pois mesmo fechando completamente o navegador ainda ssim tem acesso ao sistema, entretanto a meu ver o fato do usuário colar a url do menu em outra aba mesmo fechando a aba anterior e conseguir acessar o sistema é uma falha de segurança.
Aí pergunto como fazer para testar o fechamento da aba do navegador em que o sistema está logado e derrubar o usuário? ou isso é problema de cache do navegador.
Obrigado a todos.
