¿Es más o menos seguro eliminar todas mis cookies en comparación con el cierre de sesión individual?

Navega tus respuestas
2

Así que perdí todos mis marcadores de Firefox (bueno, no desde la versión 3.0) o el historial (3.5?) o mi sesión actual las veces suficientes (sí ... esto aún sucede) para no dejar mi precioso perfil de Firefox al azar, así que lo compré como una copia de seguridad semanal. Hace aproximadamente un año, descomprimí uno de mis perfiles muy antiguos porque había perdido una sesión o algo así, ¡y noté que todavía tenía inicios de sesión activos en todos mis sitios web!

Pasó mucho tiempo hasta que me di cuenta de que Firefox no estaba borrando las cookies en la salida como lo había configurado ("Guardar hasta: cierro Firefox"). También intenté configurar "Borrar historial cuando Firefox se cierra" con "Cookies" y "Inicios de sesión activos" ambos seleccionados, y Firefox no borra ninguno. Finalmente, publiqué un error en Bugzilla para ello.

Ahora, uso mi Botones de configuración para abrir rápidamente el cuadro de diálogo Cookies. y borre todas mis cookies antes de cerrar mi navegador por el día. Mi pregunta: ¿es esto más o menos seguro que el cierre de sesión individual de todo lo que inicie sesión para autenticar esas sesiones o estoy eliminando todas mis cookies?

    
pregunta NobleUplift 18.06.2015 - 22:27
fuente

2 respuestas

5

El cierre de sesión se supone para que expiren las cookies / sesiones, pero eso depende de la codificación del lado del servidor.

Si las cookies fueron robadas y usted solo las eliminó, entonces las cookies robadas podrían seguir siendo válidas.

La opción de eliminar vs cerrar sesión tiene más que ver con lo que está tratando de defender. Las cookies contienen más datos que la información de la sesión.

El mejor método es hacer ambas cosas: cerrar sesión para finalizar la sesión y luego eliminar las cookies para eliminar cualquier información potencialmente sensible.

    
respondido por el schroeder 18.06.2015 - 22:37
fuente
1

Es más inseguro. Muchos desarrolladores web competentes en realidad destruyen la sesión en el lado del servidor para evitar que se vuelva a acceder. Por ejemplo, un desarrollador de PHP podría hacer algo como. 

// Unset all of the session variables.
$_SESSION = array();

// If it's desired to kill the session, also delete the session cookie.
// Note: This will destroy the session, and not just the session data!
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}

// Finally, destroy the session.
session_destroy();

Si elimina sus cookies / sesiones desde su navegador, no tiene acceso al servidor para hacer lo anterior. Tampoco conoce la ubicación del script para desconectarse. Si un atacante logró obtener los datos de su sesión antes de la eliminación o obtuvo acceso al adivinar el nombre y el valor de la sesión, es posible que la sesión aún sea accesible.

Además, los desarrolladores inclinados a la seguridad tienen esto en cuenta y dan a las sesiones una fecha de caducidad o almacenan su ip / user agent en la sesión y lo relacionan con la persona que realiza la solicitud de sesión antes de ejecutar una acción creada. Pero un agente de usuario puede ser falsificado y no todos los sitios toman tales medidas.

    
respondido por el Bacon Brad 19.06.2015 - 22:01
fuente

Lea otras preguntas en las etiquetas

Escribir archivos en una subcarpeta de la carpeta web (seguridad de apache) ¿Cómo evitar que los datos privados se divulguen a una audiencia no deseada a través de Internet?