Si un usuario ha iniciado sesión en un sitio web (a través de https), ¿hay alguna razón para cerrar sesión en el sitio web cuando haya terminado de usarlo?
Para esta pregunta, por favor, suponga:
HTTP es un protocolo sin estado. Al iniciar sesión en un sitio web, es necesario mantener un estado compartido entre el cliente y el servidor. Esto generalmente se logra utilizando un ID de sesión compartido que generalmente se almacena en el lado del cliente como una cookie y en el lado del servidor en una base de datos. Si el atacante puede hacer uso de esta ID de sesión, puede realizar acciones como usuario autorizado.
Falsificación cruzada de solicitudes en sitios (CSRF) es un ataque común para hacer un mal uso de esta cookie aunque el atacante no pueda leer El valor de la cocinera. Este ataque se usa, por ejemplo, para secuestrar y reconfigurar enrutadores para que puedan ser utilizados para administrar cualquier conexión a Internet.
Otros ataques roban el ID de sesión, por ejemplo, utilizando Secuencias de comandos entre sitios (XSS) . Por supuesto, la ID de sesión también puede ser robada pirateando el servidor o su base de datos, por ejemplo, utilizando inyección SQL o simplemente adivinando la ID de sesión correcta en caso de ID de sesión fácilmente predecibles.
Si bien todos estos ataques se pueden realizar cuando el usuario se registra en un cierre de sesión correctamente implementado, invalida el ID de sesión, que ya no puede ser mal utilizado. De esta manera se reduce la superficie de ataque.
Sí. Si un atacante puede obtener el ID de sesión del usuario, él / ella puede hacerse pasar por el usuario. Esto se puede lograr potencialmente mediante un ataque XSS, un ataque de Fijación de sesión, o si el sistema produce tokens de sesión predecibles.
Además, proporciona una capa adicional de defensa incluso si cualquiera de sus suposiciones es falsa.
Lea otras preguntas en las etiquetas authentication web-browser web internet websites