Как очистить пользователей Twitter.com после очистки кэша?

Question

Я заметил кое-что очень интересное сегодня днем ​​- когда я очищаю кеш браузера и куки, Twitter сразу же выводит меня из системы.

Я предполагаю, что они проверяют cookie аутентификации каждую секунду или около того через Javascript и подписываютпользователей, если cookie отсутствует.Любые другие предположения относительно того, как это делается?

Поскольку это мое первое знакомство с таким поведением, мне интересно, насколько оно распространено, лучший способ его достижения и какие проблемы безопасности следует иметь, когдареализуя его (если есть).

Answer 1

Пока у вас открыт твиттер, некоторый код javascript периодически опрашивает сервер на наличие новых твитов. Произошло то, что вы очистили свой кэш очень близко ко времени опроса, поэтому оказалось, что очистка кеша вышла из системы, когда на самом деле это был просто запланированный опрос. Так как вы очистили свои куки, когда твиттер пошел проверять больше твитов, в этом запросе не было вашего куки-файла для входа и сервер вышел из системы.

Я только что проверил это, и когда я очищаю свои куки, ничего не происходит, пока твиттер не попытается получить больше твитов.

Answer 2

Единственный способ, которым любой сайт знает, что вы вошли в систему, - это файл cookie, который ваш браузер отправляет при последующих запросах. Если куки больше не существует, то по определению вы больше не заходите на их сайт.

Я не совсем уверен, что вы спрашиваете о "лучшем способе сделать это" .. Лучший способ сделать то, что именно?

Если вы спрашиваете, каков наилучший способ сохранить браузер, вошедший в систему с помощью cookie, он сводится к сохранению сессии или идентификатора пользователя в cookie. Идентификатор сеанса очень предпочтителен, поскольку он отличается от каждого «сеанса».

Относительно распространенности использования файлов cookie для обеспечения безопасности: они практически везде. Файлы cookie не используются для хранения идентификатора сеанса только в том случае, если идентификатор идентификатора сеанса отображается в строке запроса.

Теперь о проблемах безопасности. Обычно эти файлы cookie имеют очень ограниченный срок службы, то есть до сеанса вашего браузера, поэтому при закрытии браузера срок действия файлов cookie истекает. Если на сайте включена поддержка ssl, содержимое cookie-файлов шифруется при передаче по проводам. Если нет, то у вас нет никакой защиты против человека в середине или атак захвата пакетов. (ищите огонь).