Mi empresa tiene un sitio web que recientemente fue objeto de una auditoría de seguridad. Descubrieron que si un pirata informático hubiera obtenido las cookies del navegador utilizadas por nuestro sitio web de .NET para la autorización, dichas cookies podrían utilizarse para acceder al sitio incluso después de que el usuario para el que fueron creados hubiera cerrado la sesión manualmente y las insertó en su navegador.
¿El vencimiento de una cookie cambia la propia cookie para que el sitio web .NET sepa que está vencido? En caso afirmativo, ¿cómo sabe .NET (o un sitio web en general) que la cookie no vencida que el hacker obtuvo ahora está vencida?