BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Cerrar sesión vs limpiar historial (cookies, cache, sesiones activas, etc. con rango temporal: todo) (email, foros, ...)

1
BocaDePez

Buenas

Uso Firefox y tengo costumbre de limpiar cada varios minutos todo (rango temporal: todo) el historial, cookies, cache, sesiones activas etc. (Control+Shift+Supr). Cuando termino de mirar el email o de usar una web donde me autentico no suelo pinchar en "cerrar sesión" pero enseguida elimino, como he dicho, todo el historial, cookies, sesiones activas y demás. Si justo después vuelvo a abrir la web donde estaba autenticado, lógicamente, se me vuelve a pedir el usuario y contraseña. Vamos, que a priori es seguro lo que hago. Lo que pasa es que aunque mi navegador, en local, se entera de que que he hecho una especie de cierre de sesión de aquella manera, es posible que el servidor no se haya enterado, si es que se debe enterar. Esto me pareció el otro día en un foro donde, tras la "limpieza general", al volver a entrar (sin autenticarme) junto a mi usuario decía que estaba "online".

¿Suelen los servidores (intentar, preferir, necesitar ...) llevar control de quién y cuándo cierra sesión, o lo dejan todo para el lado del cliente (navegador) y les da igual cómo "cierres la sesión" -aunque sea como suelo hacer yo (a la brava si se quiere)-?

¿Puedo tener algún problema por mi costumbre?

Muchas gracias

Nota: Si alguien se pregunta de dónde viene mi costumbre os comentaré que empecé con ella hace unos meses, pues cuando cerraba sesión en mi cuenta de email "como es debido" se me redirigía a la página principal del portal con muchas noticias hechas para llamar la atención, solía picar y perder tiempo ... (con informaciones a menudo poco interesantes -la carne es débil-). Con mi nueva costumbre cierro la pestaña, limpio todo y a otra cosa, mariposa.

BocaDePez

Procedo a cerrar de la misma manera que tu, porque me parece inteligente. También como tu estoy a la espera de alguna respùesta que añada un poco más de información y conocimiento sobrer el tema. Gracias a tí por preguntar y a quien aporte generosamente su opinión, experiencia y saber.

BocaDePez

Como bien has pensado. El servidor no se entera de que el estado de tu sesion no es activo.

Aunque depende de como lo hayan hecho. Lo normal es que las sesiones en el lado del servidor se expiren tras un tiempo de inactividad. ¿Cuanto? Es algo arbritario. En unos sitios seran minutos y en otros dias.

Si lo que buscas es seguridad, deberias cerrar la sesion y posteriormente eliminar los datos de tu navegador.

🗨️ 1
BocaDePez

En realidad, esta parte no es tan importante como parece. No provoca inseguridad, sólo que quizá el foro piense que aún estás ahí, pero esto no quiere decir que nadie pueda impersonarte.

BocaDePez

El tema depende siempre de la implementación del servidor, nunca puedes estar seguro de cómo va a funcionar en el extremo remoto.

Si la sesión funciona por cookies y las cookies son eliminadas, el servidor no podrá recuperar la informacion de la sesión.

Si la sesión es por un temporizador interno en el servidor, acabará expirando al poco rato, pero no tendrás control total sobre ello, de ahí que apareciese como "Online"... aunque la persistencia de otros valores en el servidor ya es más discutible, porque la IP del cliente podría haber cambiado en el periodo de sesión y entonces no se daría cuenta.

Tampoco sería extremadamente grave, por ejemplo hay trackers de BitTorrent que actualizan sus estadísticas cada 15 minutos, y no necesariamente es una brecha de seguridad: el que el servidor crea que sigues ahí, no implica que otra persona desde la misma IP sea capaz de continuar la sesión. Como hemos dicho depende de lo bien o mal programado que esté el servicio, y del intercambio de tokens (cookies u otros parámetros que se puedan transmitir en formularios por método POST).

BocaDePez

Por cierto, Google Chrome tiene una característica que permite establecer navegaciones "de incógnito" que no almacenan temporales ni cookies en disco duro, y que desaparecen al cerrar la ventana. No te tienes que preocupar en hacer esa limpieza periódica que ejecutas. Yo no soy usuario de Firefox, pero me sorprendería que no tuviese algo similar...

BocaDePez

Gracias

Yo pensaba que las cookies sólo estaban en el navegador, en el lado del cliente. Pero si yo (tras borrar el historial, etc.) no puedo acceder p.e. a mi cuenta de email (a no ser que me vuelva a autenticar), ¿cómo lo podría hacer otra persona?

No navego en modo privado o incógnito porque uso el historial (antes de borrar todo, cuando creo que ha terminado una fase de mi navegación). Y me suena que había algún problema (práctico) al navegar así, ¿no?

Saludos