La única información en la cookie es el ID de sesión. No hay una marca de tiempo de caducidad establecida al crearlo, siempre se evalúa una sesión del lado del servidor para ver si ha caducado.
Al cerrar sesión, la sesión se destruye del lado del servidor. ¿Hay algún punto entonces para que caduque la cookie?
Decirle al navegador que caduque la cookie es solo una forma conveniente, porque el usuario siempre puede anular eso. Después de todo, la cookie está realmente en el navegador his , por lo que siempre verificará la caducidad de la sesión en el lado del servidor.
Dicho esto, seguiría recomendando establecer una fecha de caducidad en las cookies. Es una información en el navegador del usuario, y cuando ya no se necesita, no es una mala idea decirle al navegador que se deshaga de ella.
Si bien no representaría un riesgo directo, simplemente lo expiraría de todos modos. Es solo una línea adicional de código, ¿por qué no?
Técnicamente, no puede vencer una cookie de sesión: en el momento en que establece una fecha de vencimiento, se convierte en cookie persistente .
Creo que lo que quieres preguntar es "¿Es mejor almacenar un ID de sesión en una cookie de sesión o en una cookie persistente?" Recomendaría una cookie de sesión, ya que se guarda solo en la memoria y se elimina de la cookie en el momento en que el usuario cierra el navegador. Si utiliza una cookie persistente, se almacena en el sistema de archivos y no se elimina hasta que caduca o hasta que el usuario hace clic en el botón de cierre de sesión, y algunas veces lo olvidan. La cookie persistente se mantendrá durante un tiempo, lo que significa que un usuario malintencionado podría aparecer unos momentos después, abrir un navegador y reanudar la sesión del usuario.
Lea otras preguntas en las etiquetas web-application cookies