Según wikipedia , una cookie transitoria (también conocida como cookie de sesión, cookie en memoria) se olvida cuando El usuario cierra el navegador. Estos también se recomiendan para las cookies de sesión en OWASP .
He visto muchos sitios que recomiendan que cierre la ventana de su navegador para cerrar sesión (eliminando así esta cookie), pero eso no anularía el estado de inicio de sesión en el lado del servidor. Si los usuarios no hacen clic explícitamente en el botón de cerrar sesión (en su lugar, simplemente cierran la ventana del navegador), un hombre en el centro podría atrapar y reutilizar esa sesión incluso después de que el usuario original cerró la ventana del navegador (y pensó que se desconectó) ).
¿Eso no significaría también que el uso de cookies transitorias para la administración de la sesión podría enseñar a los usuarios que no necesitan cerrar sesión explícitamente y, por lo tanto, aumentar la efectividad potencial de un MITM? Si el usuario volvió a abrir el navegador y descubrió que aún está conectado, les enseñará que solo una acción explícita de cierre de sesión los cerrará.
Entonces, ¿debo evitar el uso de cookies transitorias para la administración de sesiones por este motivo?