Secondo wikipedia , un cookie temporaneo (noto anche come cookie di sessione, cookie in memoria) viene dimenticato quando l'utente chiude il browser. Questi sono anche raccomandati per i cookie di sessione OWASP .
Ho visto molti siti che consigliano di chiudere la finestra del browser per disconnettersi (eliminando in tal modo questo cookie), ma ciò non annullerebbe lo stato di accesso sul lato server. Se gli utenti non fanno esplicitamente clic sul pulsante di disconnessione (invece chiudono semplicemente la finestra del browser), un utente nel mezzo potrebbe intercettare e riutilizzare quella sessione anche dopo che l'utente originale ha chiuso la finestra del browser (e ha pensato di disconnettersi ).
Ciò non significherebbe anche che l'utilizzo di cookie temporanei per la gestione delle sessioni potrebbe potenzialmente insegnare ai tuoi utenti che non hanno bisogno di disconnettersi esplicitamente - e quindi aumentare la potenziale efficacia di un MITM? Se l'utente ha riaperto il browser e ha scoperto che sono ancora connessi, verrà loro insegnato che solo un'azione di logout esplicita effettuerà il logout.
Quindi, dovrei evitare di utilizzare i cookie temporanei per la gestione delle sessioni per questo motivo?