Non eliminare i cookie di sessione .. È sicuro?

3

Ho sempre usato per cancellare automaticamente i cookie di sessione quando chiudo il browser. Dover digitare nuovamente le password ogni volta è un po 'fastidioso. Quanto è sicuro non cancellare i cookie di sessione una volta che hai finito di navigare? C'è molto materiale online sui cookie di sessione, ma non è sicuro se tenerli sullo stesso computer. Quali sono le implicazioni sulla sicurezza e le preoccupazioni su questo? Grazie.

    
posta Nik-Lz 23.04.2017 - 10:36
fonte

2 risposte

1

Alcuni browser ora forniscono la possibilità di sospendere e riprendere una sessione quando il browser viene chiuso con le schede aperte. Nella mia esperienza, questo mantiene i cookie di sessione (vale a dire i cookie senza una data di scadenza, che normalmente dovrebbero essere eliminati alla chiusura del browser).

Inoltre, non tutti i siti utilizzano i cookie di sessione per identificare le sessioni nell'applicazione - alcuni utilizzano cookie convenzionali di breve durata, il che significa che anche se si chiude la scheda prima di chiudere il browser, sarà possibile riprendere la sessione per tali servizi .

Quindi in entrambi gli scenari, qualcuno con accesso al browser (e account utente sul client) può accedere alla sessione.

    
risposta data 23.04.2017 - 11:10
fonte
1

Di norma, i cookie non contengono (non dovrebbero) segreti a lungo termine (come le password). Invece contengono un ID casuale che collega il tuo browser a un record che il server conserva con le informazioni di cui ha bisogno per ricordarti. Pertanto, il collegamento tra l'utente e le informazioni di identificazione viene interrotto quando uno di voi (voi o il server) interrompe l'utilizzo dell'ID nel cookie.

La migliore pratica dal punto di vista del server è presumere che l'utente non farà nulla di speciale per proteggersi. Quindi, se stanno facendo bene il loro lavoro, non dovresti fare nulla. Gestiscono il ciclo di vita di questi ID e, una volta scaduto l'ID, i cookie non hanno senso.

Tuttavia, si presume che i cookie di sessione vengano cancellati dal browser quando il browser è chiuso, quindi si suppone che la durata di una "sessione" sia una sola. Ora che i computer di solito sospendono invece di spegnersi, questo è meno vero, portando a una situazione in cui una "seduta" può durare mesi.

Quello che fai con questo dipende da te. Molti siti Web sono scritti male per presupporre che finché il cookie di sessione è valido, il computer non ne ha lasciato il possesso. Quindi se il tuo computer dovesse finire nelle mani di qualcun altro, allora dovresti assicurarti che i cookie di sessione vengano eliminati.

    
risposta data 23.04.2017 - 18:25
fonte

Leggi altre domande sui tag