Come notato nel sistema di internet banking di DBS, mostra un riepilogo dopo ho fatto clic su logout. Fornisce un registro delle attività eseguito durante la sessione. Quale ho pensato, durante il processo di logout, la sessione corrente (lato server) dovrebbe essere invalidata, il cookie (a lato client - browser) dovrebbe essere scaduto / cancellato, quindi l'utente corrente non dovrebbe più essere identificabile dopo un processo di logout riuscito.
Il riepilogo del registro delle attività della sessione è in contraddizione con la mia comprensione. L'applicazione sarebbe comunque in grado di identificare l'utente dopo un processo di logout riuscito. Sebbene si possa suggerire che l'applicazione considererebbe il processo di "disconnessione" semplicemente negando un flag di autorizzazione (booleano) per alcune funzioni critiche. Altri potrebbero anche suggerire che il riepilogo sia stato memorizzato sul browser del client prima di disconnettersi e presentato all'utente dopo il logout. Tuttavia, sono ancora scettico sul modo in cui il riassunto sarà trattato dopo aver lasciato la pagina. C'è qualche rischio per la sicurezza di tale pratica?