Esta es una pregunta bastante amplia, ya que podría (y ha sido) implementada en una gran cantidad de formas diferentes. Por lo general, implican almacenar una cookie persistente en el navegador, y aquí hay algunas. La cookie podría contener:
- Un token de autenticación. (Como Tokk describió en su respuesta). Con el estado en el servidor (en la base de datos, por ejemplo) cuando un usuario regresa, puede vincular el token de autenticación a su cuenta de usuario.
- Un identificador de usuario. Este es un modelo sin estado que no requiere que mantenga un registro de la sesión en el servidor. Mientras el usuario continúe visitando una cookie que contenga un identificador de usuario válido, se autenticará y ya no importa si hay 10 segundos entre solicitudes de página o 10 días.
- Credenciales. Este modelo híbrido con estado / sin estado es que no es necesario mantener un registro de la sesión, pero hay una diferencia entre un usuario autenticado (que tiene una cookie de sesión) y un usuario recordado (que tiene la cookie con las credenciales) , pero aún no hay una cookie de sesión.) Esto puede ser un agujero de seguridad masivo si las credenciales se almacenan en la cookie en texto plano, y sí, algunos sitios lo hacen (o lo han hecho). Con el cifrado adecuado, bueno, no lo elegiría, pero no es un gran riesgo de seguridad en ese caso. (Existe un poco de riesgo adicional en el hecho de que la aplicación está realizando un procesamiento adicional innecesario de credenciales, pero es un riesgo relativamente pequeño).
¿Qué es el gran riesgo de seguridad en la función "Recordarme"? Principalmente que le está dando al usuario una cookie que es válida en el futuro, y la ventana para el abuso en caso de que dicha cookie sea mal utilizada es ahora mucho más grande. Por lo tanto, teniendo esto en cuenta, se debe tener cuidado para proteger esta cookie. HTTPS debe usarse como primera línea de defensa, por ejemplo, y la cookie debe estar marcada como secure
. Es útil si tiene un modelo con estado que le permita al usuario finalizar forzosamente las sesiones válidas cuando ya no las necesita, para frenar posibles abusos.
Entonces, tl; dr es: Sus credenciales pueden o no estar almacenadas en una cookie. Si están y no están correctamente encriptados, entonces este es un riesgo importante. Probablemente no es así como se implementa la función "Recordarme" en un sitio web determinado, pero en caso de duda, revise sus cookies y vea.