Google , Yahoo, Facebook y varios bancos tienen una pantalla de resumen de sesión que enumera una variedad de información, pero no son coherentes con lo que se ofrece al usuario final. por ejemplo
-
Facebook ofrece una lista concisa de "sesión activa", y suficiente información para determinar si esa sesión debe terminarse.
-
Chase bank, por ejemplo, enumera cuántas transacciones se han emitido en la sesión actual, mientras que hay un conjunto de opciones más grande (y abrumador) en Google.
Excluyendo los detalles de la línea de negocios (como en la aplicación de Banca), ¿qué información y controles de sesión (por ejemplo, terminar sesión) deben incluirse en un resumen de sesión?
Editar: La idea es que el hecho de proporcionar demasiada información en un resumen de sesión puede ser utilizado por una persona malintencionada o un script que acceda a esa página. p.ej. una cuenta podría ser secuestrada, cambiar la contraseña y terminar todas las sesiones legítimas.
Otra ingeniería social, o divulgación de PII también puede ser posible dependiendo del tipo de ataque.