È più o meno sicuro cancellare tutti i miei cookie e disconnettersi individualmente?

Question

È più o meno sicuro cancellare tutti i miei cookie e disconnettersi individualmente?

#1 da (5 voti)
#2 da (1 voti)

2

Quindi ho perso tutti i miei segnalibri di Firefox (beh non dal 3.0) o cronologia (3.5?) o la mia sessione corrente abbastanza volte (sì ... succede ancora) che non lascio il mio prezioso profilo di Firefox al caso, quindi lo comprimo come backup settimanale. Circa un anno fa, ho decompresso uno dei miei profili molto vecchi perché avevo perso una sessione o qualcosa del genere e ho notato che aveva ancora accessi attivi a tutti i miei siti web!

È passato molto tempo prima che mi rendessi conto che Firefox non stava cancellando i cookie all'uscita come se l'avessi configurato ("Keep Until: I close Firefox"). Ho anche provato a impostare "Cancella cronologia quando Firefox si chiude" con "Cookie" e "Login attivi" entrambi selezionati e Firefox non cancella neanche. Alla fine, ho postato un bug su Bugzilla per questo.

Ora, utilizzo la mia pulsanti Impostazioni per aprire rapidamente la finestra di dialogo Cookie e cancella tutti i miei cookie prima di chiudere il browser per la giornata. La mia domanda: questo è più o meno sicuro che disconnettersi individualmente da tutto ciò che accedo per autenticare quelle sessioni o sto cancellando bene tutti i miei cookie?

cookies firefox

posta NobleUplift 18.06.2015 - 22:27

fonte

2 risposte

Leggi altre domande sui tag cookies firefox

perché il primo certificato ha una chiave pubblica RSA in x.509? Sta scrivendo su / dev / null secure?

score 5 · Answer 1

La disconnessione è supposta per scadere i cookie / sessioni, ma ciò dipende dalla codifica sul lato server.

Se i cookie sono stati rubati e hai eliminato solo i cookie, i cookie rubati potrebbero essere ancora validi.

La scelta dell'eliminazione o della disconnessione ha più a che fare con ciò che stai cercando di difendere. I cookie contengono più dati rispetto alle sole informazioni sulla sessione.

Il metodo migliore è quello di fare entrambe le cose: uscire per terminare la sessione e quindi eliminare i cookie per rimuovere eventuali dati potenzialmente sensibili.

score 1 · Answer 2

È più insicuro. Molti sviluppatori web competenti distruggono effettivamente la sessione sul lato server per impedirne l'accesso di nuovo. Ad esempio, un dev di PHP potrebbe fare qualcosa di simile.

// Unset all of the session variables.
$_SESSION = array();

// If it's desired to kill the session, also delete the session cookie.
// Note: This will destroy the session, and not just the session data!
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}

// Finally, destroy the session.
session_destroy();

Se elimini i cookie / sessioni dal tuo browser, non ha accesso al server per eseguire quanto sopra. Né conosce la posizione dello script per la disconnessione. Se un utente malintenzionato è riuscito a ottenere i dati della sessione prima dell'eliminazione o ha ottenuto l'accesso indovinando il nome e il valore della sessione, potrebbe ancora essere accessibile.

Inoltre, gli sviluppatori inclini alla sicurezza prendono in considerazione questo aspetto e danno alle sessioni una data di scadenza o archiviano l'agente IP / utente nella sessione e lo abbinano alla persona che effettua la richiesta di sessione prima di eseguire un'azione autorizzata. Ma un agente utente può essere falsificato e non tutti i siti adottano tali misure.