No eliminar las cookies de sesión ... ¿Es seguro?

3

Siempre solía eliminar automáticamente las cookies de sesión cuando cierro el navegador. Sin embargo, tener que volver a escribir las contraseñas cada vez es un poco molesto. ¿Qué tan seguro es no borrar las cookies de sesión una vez que haya terminado de navegar? Hay una gran cantidad de material en línea sobre cookies de sesión, pero no si es seguro mantenerlas en la misma computadora. ¿Cuáles son las implicaciones de seguridad y las preocupaciones sobre esto? Gracias.

    
pregunta Nik-Lz 23.04.2017 - 10:36
fuente

2 respuestas

1

Algunos navegadores ahora ofrecen la posibilidad de suspender y reanudar una sesión cuando el navegador se cierra con pestañas abiertas. En mi experiencia, esto retiene las cookies de sesión (es decir, las cookies sin fecha de caducidad, normalmente se espera que se eliminen cuando el navegador se cierre).

Además, no todos los sitios utilizan cookies de sesión para identificar sesiones en la aplicación; algunos usan cookies convencionales de corta duración, lo que significa que incluso si cierra la pestaña antes de cerrar el navegador, será posible reanudar la sesión para dichos servicios. .

Por lo tanto, en ambos escenarios, alguien con acceso al navegador (y la cuenta de usuario en el cliente) puede acceder a la sesión.

    
respondido por el symcbean 23.04.2017 - 11:10
fuente
1

Como regla general, las cookies no (no deberían) contienen secretos a largo plazo (como contraseñas). En su lugar, contienen una identificación aleatoria que vincula su navegador a un registro que el servidor mantiene con la información que necesita para recordarle. Por lo tanto, el enlace entre usted y la información de identificación se rompe cuando uno de los dos (usted o el servidor) deja de usar la ID en la cookie.

La mejor práctica desde el punto de vista del servidor es asumir que el usuario no hará nada especial para protegerse. Entonces, si están haciendo bien su trabajo, no deberías hacer nada en absoluto. Gestionan el ciclo de vida de estas ID, y una vez que caducan la ID en su extremo, su cookie carece de significado.

Pero generalmente se supone que el navegador elimina las cookies de sesión cuando el navegador está cerrado, por lo que se supone que la duración de una "sesión" es de una sesión. Ahora que las computadoras generalmente se suspenden en lugar de apagarse, esto es menos cierto, lo que lleva a una situación en la que una "sesión" puede durar meses.

Lo que hagas con esto depende de ti. Muchos sitios web están (mal) escritos para asumir que mientras la cookie de sesión sea válida, entonces la computadora no ha dejado su posesión. Entonces, si su computadora puede terminar en manos de otra persona, debería asegurarse de que las cookies de la sesión se eliminen.

    
respondido por el tylerl 23.04.2017 - 18:25
fuente

Lea otras preguntas en las etiquetas