Supongamos que alguien secuestra mi sesión, por ejemplo, usando Firesheep. Entonces, ¿qué sucede si cierro la sesión, también finaliza la sesión secuestrada? Además, ¿el uso de cable LAN en lugar de WiFi evita el secuestro de sesiones?
Eso depende del código del lado del servidor. Si el servidor elimina el ID de sesión asociado con su ID de usuario, el atacante también se desconectará. Si, por alguna razón, el Servidor solo elimina su cookie (caducando) o elimina la ID de la URL, entonces el atacante aún puede usar su sesión.
Si el servidor es un sistema distribuido, la eliminación de su ID de sesión puede tardar un poco en llegar a todos los sistemas.
Si el atacante ha usado la sesión para cambiar sus credenciales de inicio de sesión o revelar sus contraseñas, el cierre de sesión no le servirá de nada y lo puede excluir. Los sistemas seguros siempre solicitan la contraseña antes de revelar / cambiar las credenciales de inicio de sesión, pero no todos los sistemas son tan seguros ...
Entonces, ¿qué pasa si me desconecto? ¿La sesión secuestrada también termina?
Bueno, en realidad depende de cómo la aplicación maneja las sesiones. Idealmente, DEBE finalizar la sesión una vez que el usuario haga clic en el botón de cierre de sesión. Y, para minimizar el período de tiempo que un atacante puede lanzar ataques sobre sesiones activas y secuestrarlos, también es obligatorio establecer tiempos de espera de caducidad para cada sesión.
Nota : aquí, terminar la sesión simplemente significa invalidar el ID de sesión en ambos lados (lado del cliente y lado del servidor). Si desea obtener más información sobre la administración de sesiones en aplicaciones web, le recomiendo leer este documento OWASP .
Además, ¿el uso de cable LAN en lugar de WiFi evita el secuestro de sesiones?
De nuevo, eso depende. Si alguien tiene acceso a su enrutador inalámbrico Y está mal configurado, existe la posibilidad de que algunos puedan interceptar el tráfico y secuestrar la sesión (si los datos no se transmiten a través de HTTPS). Sin embargo, si sus datos se envían a través de SSL, reduce las posibilidades de intercepción de datos por parte de Man-In-The-Middle (MITM).
Pero una cosa importante a tener en cuenta aquí es que es más fácil piratear la red inalámbrica, no porque transmita datos (como mencionó en uno de los comentarios). Se debe a que la conexión inalámbrica está mal configurada (no se ha configurado con el cifrado adecuado, la protección de contraseña y el direccionamiento MAC). De hecho, virtualmente, no hay diferencia en la seguridad de Internet inalámbrico y por cable si la red inalámbrica está configurada correctamente (por ejemplo, usando WPA2 y protegido con una contraseña segura). Puede consultar esta publicación del blog para obtener una explicación detallada.
Lea otras preguntas en las etiquetas session-management