1
Je teste une application web pour les questions de sécurité et je suis tombé sur le scénario suivant:la sécurité des applications Web
- journaux utilisateur dans l'application. Application définit les cookies de session dans le navigateur.
- L'utilisateur désactive les cookies dans le navigateur lorsqu'il est encore authentifié. Je sais que cela semble étrange, mais peut-être que le navigateur de l'utilisateur est exploité d'une manière ou d'une autre.
- L'utilisateur se déconnecte mais l'application ne parvient pas à supprimer les cookies de session dans le navigateur. L'application n'émet pas d'avertissement à ce sujet à l'utilisateur et se comporte comme s'il était déconnecté correctement.
- Les cookies de session de l'application, qui ont une heure d'expiration depuis la dernière demande, sont laissés dans le navigateur pour un autre utilisateur à exploiter.
Ma question est la suivante: est-ce que cela devrait être considéré comme une vulnérabilité dans l'application ou est-ce que tout le scénario est trop loin? Mon avis est que puisque l'application repose exclusivement sur des cookies pour l'authentification et la gestion de session, il est de la responsabilité de l'application d'avertir l'utilisateur de ne pas pouvoir supprimer les cookies lors de la déconnexion.
Appréciez les réponses!
Je crois qu'il s'agit d'un test valide et que l'application devrait avertir l'utilisateur. OMI, aucun test n'est jamais trop loin. = P – prolink007