L'impostazione di un cookie temporaneo su un valore non valido durante il logout migliora la sicurezza?

Naviga le tue risposte
0

Quando una sessione viene chiusa, ad esempio, quando si attiva un timeout o quando l'utente fa clic sul pulsante di disconnessione, la sessione deve essere chiusa sul lato server in modo tale che il cookie di sessione non sia valido.

Penso che potrebbe essere utile impostare anche un valore vuoto o non valido del cookie di sessione nel browser, anche se si tratta di un cookie temporaneo. Ad esempio, quando fai clic sul pulsante Disconnetti, il server può rispondere con un Set-Cookie che imposta un valore non valido per il cookie.

Questa misura migliora la sicurezza del sito o è "troppo" avendo in considerazione che il cookie è temporaneo e la sessione è chiusa correttamente sul lato server?

    
posta kinunt 05.05.2014 - 12:51
fonte

1 risposta

3

In definitiva con un'applicazione web, la sicurezza dovrebbe risiedere sempre sul lato server, e come tale la misura importante quando un utente viene disconnesso da un'applicazione è assicurarsi che la sessione non sia più valida sul lato server .

Non penso che ci sia alcun danno nell'invalidare la sessione sul lato client, potrebbe essere utile ridurre il carico sul server in quanto non è necessario fare una ricerca sull'ID di sessione per vedere se è valido o forse per migliorare l'esperienza utente nel routing rapido di un utente alla pagina di accesso.

Tuttavia, impostarlo sul lato client non dovrebbe essere considerato una misura di sicurezza.

    
risposta data 05.05.2014 - 13:18
fonte

Leggi altre domande sui tag

SQL Injection e JavaScript Regex Bypass I backup sono davvero sicuri?