web-dev-qa-db-fra.com

Existe-t-il une différence entre une déconnexion officielle et l’arrêt du navigateur?

Parfois, je me déconnecte d'une page Web ou d'une application en cliquant sur un lien spécifique "déconnexion". D'autres fois, je suis peut-être pressé, je ferme simplement le navigateur. Y a-t-il un avantage à se déconnecter officiellement? La fermeture du navigateur est-elle moins sécurisée?

10
Bernard Dy

Il y a trop de variations dans la manière dont les applications Web implémentent l'authentification d'utilisateur pour répondre à cette question. Certains vont supprimer les cookies qu'ils ont créés; certains vont détruire les variables de "session" associées à votre compte et à votre navigation en cours ... session; d'autres vont simplement vous rediriger vers une page de connexion.

Lorsque je crée des applications Web avec une authentification d’utilisateur, l’utilisateur est généralement associé à un cookie de session, c’est-à-dire un cookie qui n’est pas écrit sur le disque mais qui disparaît à la fermeture du navigateur. Donc, dans ce cas, cliquer sur un lien de "déconnexion" et fermer le navigateur a essentiellement le même effet.

Cela dit, il est possible que, sur certaines applications Web, votre connexion soit associée à un cookie persistant, ou à votre adresse IP, ou autre, et que le simple fait de fermer le navigateur ne vous déconnecte pas. Dans un tel cas, il est concevable que quelqu'un puisse vous suivre, ré-ouvrir le navigateur et être connecté en tant que vous.

Cela dit, je dirais que c'est une bonne pratique de se déconnecter d'une application Web, mais si vous oubliez, ce n'est pas vraiment grave.

10
ale

Certains sites Web ne vous déconnectent que si vous cliquez sur "Déconnexion". Même si vous redémarrez votre ordinateur, ces sites peuvent vous maintenir connecté (à moins que les cookies ne soient automatiquement supprimés par votre navigateur Web); ainsi, toute personne qui ouvre ce site sur votre ordinateur peut être connectée en tant que vous. J'ai vécu cela avec de nombreux sites Web.

Par conséquent, je vous recommande de toujours cliquer sur "Déconnecter" avant d'arrêter votre ordinateur. Une autre solution consiste à configurer votre navigateur Web pour qu'il supprime les cookies individuels à la sortie.

3

À titre d'observation supplémentaire aux autres réponses, toujours utilisez la fonction de déconnexion du site lorsque vous n'êtes pas sur votre ordinateur. toujours!

Parce que:

... sur certaines applications Web, il est possible que votre identifiant de connexion soit associé à un cookie persistant, à votre adresse IP, etc. Dans un tel cas, il est concevable que quelqu'un puisse vous suivre, ré-ouvrir le navigateur et être connecté en tant que vous.

3
Alex

La plupart des sites Web stockent des cookies sur l'ordinateur de l'utilisateur authentifié. L'objet partagé Flash peut également être utilisé pour cela, mais il s'agit plutôt d'une exclusion. La gestion de session côté serveur peut également être implémentée, mais elle reste basée sur les informations de cookies enregistrées.

Ainsi, vous pouvez facilement vous déconnecter de 99,9% des sites Web en effaçant simplement leurs cookies de domaine, de session et de chemin.

Si vous utilisez Firefox (ou Chrome), vous pouvez activer le mode "navigation sécurisée", dans lequel vos informations d'authentification sont effacées une fois le navigateur fermé. Cela est également possible avec d’autres navigateurs; Il suffit de regarder les préférences du navigateur. Sur la capture d'écran, vous pouvez voir l'extension de la barre d'outils FF pour développeurs Web qui vous permet d'effacer facilement tous les types de cookies. Il existe des extensions spécifiques liées aux cookies simper pour FF.

1
Egeshi