¿Establecer una cookie temporal en un valor no válido cuando el cierre de sesión mejora la seguridad?

Navega tus respuestas
0

Cuando se cierra una sesión, por ejemplo, cuando se desencadena un tiempo de espera o cuando el usuario hace clic en el botón de cierre de sesión, la sesión debe finalizar en el lado del servidor para que la cookie de sesión no sea válida.

Creo que podría ser útil establecer también en un valor en blanco o no válido la cookie de sesión en el navegador, incluso si es una cookie temporal. Por ejemplo, cuando hace clic en el botón Cerrar sesión, el servidor podría responder con un conjunto de cookies que establece un valor no válido para la cookie.

¿Esta medida mejora la seguridad del sitio o es "demasiado" teniendo en cuenta que la cookie es temporal y que la sesión está cerrada correctamente en el lado del servidor?

    
pregunta kinunt 05.05.2014 - 12:51
fuente

1 respuesta

3

En última instancia, con una aplicación web, la seguridad siempre debe residir en el lado del servidor, y como tal, la medida importante cuando un usuario se desconecta de una aplicación es asegurarse de que la sesión ya no sea válida en el lado del servidor .

No creo que haya ningún daño en invalidar la sesión en el lado del cliente también, podría ser útil para reducir la carga en el servidor, ya que no es necesario hacer una búsqueda en el ID de sesión para ver si es válido o tal vez para mejorar la experiencia del usuario enrutando rápidamente a un usuario a la página de inicio de sesión.

Sin embargo, establecerlo en el lado del cliente no debe considerarse una medida de seguridad.

    
respondido por el Rоry McCune 05.05.2014 - 13:18
fuente

Lea otras preguntas en las etiquetas

¿Cómo configurar iptables para eliminar los paquetes que no estoy escuchando? ¿Es posible cifrar la conexión WiFi?