Qualcuno con accesso fisico a un computer di destinazione può rubare i cookie del browser e configurare una sessione autenticata canaglia in seguito?
Sì, ma le esatte implicazioni dipendono dalle tecniche di autenticazione utilizzate dal sito Web che imposta i cookie. Ad esempio, alcuni siti Web potrebbero avere tempi di scadenza particolarmente brevi per i loro cookie, oppure il sito Web potrebbe eseguire verifiche supplementari (ad esempio indirizzo IP o agente utente del browser) prima di consentire l'autenticazione per continuare. In generale, il dirottamento di sessione richiede alcune cose:
I cookie non devono aver naturalmente raggiunto la loro data di scadenza.
I cookie da soli devono essere sufficienti per autenticare la sessione (senza certificati TLS, ecc.)
L'utente non deve aver effettuato il logout (che invaliderebbe i cookie).
Alcuni siti particolarmente mal progettati non invalideranno i cookie lato server quando l'utente si disconnette o quando i cookie raggiungono la data di scadenza. Questi siti Web si basano interamente sul browser e sono molto facili da dirottare una volta che si hanno i cookie stessi. Un sito web ben progettato terrà traccia della validità dei cookie indipendentemente dalla data di scadenza impostata nel cookie, e dovrebbe immediatamente rifiutarsi di accettare i cookie di autenticazione dopo che l'utente si è disconnesso.
Leggi altre domande sui tag cookies web-browser browser-hijacking