這不是一個簡單的，簡單的問題。您需要考慮幾個不同的方面，並且在受多個不同客戶端影響的幾種不同情況下，適用於幾種不同威脅的幾種不同機制和對策。讓我們一次檢查這些。 （最後會有一個TL； DR ...）

• 如果您使用的是公共計算機：註銷。
  您擁有帳戶的任何服務都不應保留在可公開訪問的計算機上。

• 如果您使用的是不敏感的臨時服務：請保持登錄狀態。
  這僅適用於一次性的臨時帳戶，例如至於互聯網廣播，放棄訪問無非是滋擾。

• 如果您使用的是公共Wifi：註銷。
  由於網絡本身是不受信任的，因此有一個明顯的威脅：會話Cookie失竊。。您的會話可能被劫持了，並且有人（網絡上的其他人或熱點本身）偷了您的會話Cookie。當然，如果是這種情況，您可能會不知道，但是您可能也無法真正註銷（如果是惡意網絡或MITM，他們可以控制您的整個連接-他們可能會丟棄您的連接

  也就是說，僅您的會話Cookie的第三方盜竊是一種有效的威脅（例如 FireSheep），顯式註銷會阻止無限使用。 （基本上損壞可能已經發生，但是這阻止了它繼續。）

  最好是轉到受信任的網絡，登錄並明確註銷，以防萬一。 MITM阻止了您的註銷。最好在受信任的站點上更改密碼。但是最好不要從不受信任的網絡訪問不重要的敏感站點。

• 如果您使用的是全天應用程序：請保持登錄狀態。
  對於您全天使用的服務，希望快速/輕鬆地訪問，例如Facebook，電子郵件等-如果這是您自己在受信任的網絡上的私人（或工作）計算機，則要長期保持瀏覽器登錄是明智的選擇。

  威脅：惡意旁觀者

  只要您走開，即使要喝杯咖啡，也要鎖定計算機。如果您有一扇沒有其他人可以通過的實體門，也可以鎖上辦公室。 （或者要有家庭辦公室！），請定期註銷並重新登錄。監視“您”發布的任何帖子。

  威脅：其他站點可以註冊您的登錄名 （例如，向您顯示來自Facebook的重要“贊”圖標）。這是適用折衷方案的一部分，儘管存在更廣泛的含義，但超出了此答案的範圍。

• 如果您使用的是使用HTTP基本身份驗證的任何應用程序（例如，許多路由器）：註銷並關閉 ALL 瀏覽器窗口。 這是有趣的地方，這也適用於下一部分。

  使用基本AuthN登錄到Web應用時，瀏覽器會緩存您的密碼，並在每次請求時發送該密碼。瀏覽器的BasicAuth機制沒有會話的概念。即使您反复註銷，Web應用程序-服務器端和客戶端都沒有“殺死”會話的任何方式。清除這些緩存的憑據的唯一方法是殺死瀏覽器進程。

  如何。瀏覽器的選擇對於“瀏覽器過程”的概念很重要。例如：

  • Firefox ：始終打開一個進程，無論您打開了多少選項卡和窗口。

  • Chrome ：每個標籤是一個單獨的過程。但是，還有另一個“全局”父進程。所有選項卡進程都是該進程的子進程（在Windows中又名“作業進程”），它們都是通過父進程共享進程內存。如果您打開一個新窗口，也是如此。因此，儘管Chrome充分利用子進程與共享的父進程，使其選項卡特別生動，健壯，但缺點是共享進程狀態。換句話說，從Chrome刪除緩存的BasicAuth憑據的唯一方法是關閉所有Chrome窗口，最後一個關閉。僅關閉選項卡將無濟於事。

  • IE ：選項卡/進程模型與Chrome瀏覽器相同（或相似）...除了一個例外。通過默認，IE還會在父進程的子進程中打開所有選項卡。 （實際上，這不是100％準確的-一些選項卡與其他選項卡共享一個子進程-但這在現實中並不重要）。但是，如果在IE命令行中添加“ -NoFrameMerging ”，它將創建一個全新的IE父進程。此處的區別在於您可以創建一個新的父窗口以登錄到路由器，然後在完成操作後關閉 just 該窗口。這將清除您的BasicAuth緩存，而無需觸摸任何其他打開的IE窗口。 （旁注：實際上也可以使用Chrome來做到這一點！但是，它涉及的更多，並且需要您在計算機上創建另一個瀏覽器配置文件。）

• 如果使用的是敏感應用程序，例如銀行應用程序-總是明確註銷並關閉 ALL 瀏覽器窗口。這部分要復雜一些，但是上面已經介紹了很多依賴項。

  威脅：惡意旁觀者如上所述，鎖定您的計算機是有道理的，但是無需進行以前的權衡。只需註銷即可。

  會話超時：此外，大多數敏感（例如銀行業務）應用 應該實現某種形式的自動空閒超時，因此，如果您下午出門，會話將在某個時間點自動終止。這可能無助於解決此威脅，因為如果您走了4 1/2分鐘以補充咖啡，那麼惡意的旁觀者可能會跳上計算機。

  威脅：會話Cookie盜竊

  希望，敏感應用正在積極地防止這種情況發生，例如， HTTPS，IDS，地理/欺詐檢測等。也就是說，關閉“機會窗口”還是有道理的，以防萬一-縱深防禦，以及所有這些。

  會話超時：以前，大多數敏感（例如銀行）應用程序應該實施某種形式的自動空閒超時，並且還將幫助最小化這種威脅。 但是，即使您確實知道此應用程序確實正確實現了空閒超時這一事實，攻擊者仍然有很大的機會。也就是說，在相對安全的應用程序中，這並不是什麼威脅。

  威脅：跨站請求偽造（CSRF）

  這是您需要擔心的。

  說您已登錄銀行。在同一窗口中的其他選項卡中，您正在瀏覽某個可疑的網站。在查看此網站時，它可能正在暗中測試各種知名的銀行，以查看您是否恰巧登錄其中之一。如果是這樣，它將發起CSRF攻擊（並非所有銀行站點都容易受到此攻擊，但許多站點仍然存在）。 CSRF！

  好的。現在說您比其他人聰明，不要在銀行開門的同時瀏覽可疑站點。因此，完成銀行業務後，請仔細關閉該標籤。只有 then ，您才能打開新標籤頁瀏覽到躲閃的站點。嗯，問題是，您仍處於登錄狀態，並且會登錄一段時間（通常大約30分鐘，但可能最少10個小時或最多一個小時...）。 CSRF！。

  （請注意，此處的會話超時確實有助於縮短機會窗口，但在窗口內仍然有可能發生這種情況）。

  嗯。好吧，我知道，讓我們打開一個新的瀏覽器窗口！將其用於銀行工作，然後再次關閉選項卡，然後針對我喜歡玩的惡意軟件站點再次打開一個新文件夾。糟糕，請參閱以上有關基本身份驗證的部分-您選擇的瀏覽器很重要。

  除非您使用“隱身/私人瀏覽”或“ -NoFrameMerging ”標誌IE，您仍然處於同一進程族中，並且此仍然打開的會話將在所有窗口之間共享，至少直到服務器達到空閒超時為止。假設尚未被選中。 CSRF了！

  好吧，再說一遍。我在某處閱讀了一篇冗長的文章，內容涉及我始終需要從敏感應用程序中註銷的原因-因此，在進入犯罪網站之前，我只是這樣做。不幸的是，該應用程序“忘記”進行正確的註銷，它只是將我重定向到該應用程序之外（或擦除了我的cookie，或...），而不是在服務器上使它無效... / em>

那麼，TL; DR？

• 如果您關心此站點上的帳戶：登出。
• 如果您關心您的帳戶，並且該帳戶使用基本身份驗證，請執行以下操作：註銷並關閉所有瀏覽器選項卡和窗口。
• 如果您不關心自己的帳戶-做什麼都無所謂，請停止詢問：-）。

_{P.S。我沒有介紹Flash Cookie，非HTTP會話和集成Windows身份驗證。適可而止。 sub>}

登錄到網絡服務時，cookie會植入瀏覽器中。該cookie具有唯一的ID值，該值可在您使用Web服務時以及以後再回來時標識您。如果某種方式*該標識符被盜，擁有它的人可能會像使用您一樣使用您的帳戶。

註銷，通常會使該標識符失效你和對手。你們兩個都無法使用標識符來告訴Web服務“ 嗨，我是Angelo Hannes ”。不幸的是，這迫使您再次輸入用戶名和密碼進行登錄。

“那麼，那我該怎麼辦？”，您問。這要看情況。一些敏感的Web服務（銀行，政府網站，保險公司等）的會話時間很短，即，在不使用該服務10-15分鐘後，它們會使標識符失效。其他敏感的Web服務（基本上控制幾乎所有其他帳戶的電子郵件收件箱）實際上並不會使會話無效，但是它們會應用IP地址限制（如果您使用其他IP地址的同一會話，則該會話

TL; DR

• 公用計算機，額外的偏執狂，您認為您的會話受到影響，還是真的在意此服務？ 註銷。

• 私人計算機，您認為會話安全，並且真的不關心這項服務嗎？ 可以保持登錄狀態。

*您可以使用服務中的已知問題（不使用HTTPS，因為例如）或某些零日漏洞，例如服務中新發現的XSS攻擊，瀏覽器中的新漏洞會洩露Cookie信息，或者您正在使用的計算機上安裝的某些惡意軟件會竊取會話信息（嗯，如果它已經偷了您的用戶名和密碼）。

我將嘗試以與上面已發布的相反的方式提供此問題的答案。

與Web應用程序中的空閒會話相關的風險是什麼？

• 通過XSS進行會話Cookie盜竊（如果會話未綁定到IP）
• 跨站點請求偽造（空閒時，
• 中間攻擊中的人（使用通過SSLStrip嗅探的會話cookie或由於混合HTTPS信息洩露）
• 打開終端（您在午餐時間休息了，PayPal在<旁邊打開，在此處插入隨機網絡罪犯的名字>，然後回來查看您的帳戶為空，因為您沒有註銷）

超時，如前所述，某些安全關鍵型應用程序（例如銀行網站）的超時值通常較低，通常為五到十分鐘。但是，這些應用程序通常還具有與會話綁定的隨機排序CSRF預防令牌和IP。因此，即使您的Cookie受到威脅，如果安全性得到正確實施，遠程攻擊者也將無法對其進行處理。

諸如FaceBook之類的其他網站通常不會超時，以更好地訪問或使用。 。但是，它們確實支持登錄通知，IP綁定到cookie。 Gmail或DropBox之類的應用程序支持兩步SMS身份驗證，以進一步提高安全性，並使如果來自新的不受信任的PC的會話盜用變得毫無用處。

因此，我唯一擔心的就是使會話保持打開狀態：

• 公共終端（無論如何仍應使用私人瀏覽。在FF上為Ctrl + Shift + P）
• 安全性較差的網站（用戶有責任保護自己的Cookie免受邪惡的Cookie怪物的攻擊）。

不註銷的最大威脅之一是使用公用計算機。根據瀏覽器的配置，僅關閉瀏覽器可能不會結束會話。如果用戶忘記註銷其OS用戶（或者甚至可能無法註銷），則其他人可以訪問其Web應用程序。當然，這種情況不太可能發生。但是，Web應用程序通常可供大型用戶組訪問，並且某些用戶可能使用公用計算機（大學，學校，圖書館）。

由於會話確實存在超時，因此使用Web應用程序後，只有很短的一段時間我才能登錄。

不一定是真的。根據網站實施會話管理的方式，他們可能會使用任意長的超時時間，甚至可能使用在瀏覽器/操作系統重啟後仍然有效的會話。

最終，是否應該明確註銷取決於Web應用程序是什麼。 。銀行站點通常實現非常短的超時，社交網站通常實現實質上的永久登錄，尤其是當它們也是身份提供者（OpenID等）時。

隱藏會話cookie通常並不容易，但是有可能並且顯式註銷可以防止這種情況，通常應該顯式註銷高價值網站。

不要假定服務有超時。即使超時，攻擊者也可以簡單地收集您的cookie並通過一個簡單的腳本使用它，該腳本將繼續ping服務，發送cookie，刷新“最後一次看到”的時間戳。網站所有者可以通過多種方式保護自己免受此侵害，但不要信任網站所有者。竊取Cookie並不像聽起來那樣難（在youtube上進行的搜索可能會告訴您它到底有多簡單），對於這種情況，您最好的保護措施就是註銷。

如果您未註銷，則登錄cookie在給定時間段內將保持有效（取決於實現方式），因為服務器（運行Web應用程序的服務器）不知道您是否關閉了瀏覽器。如果有人偷了您的Cookie，則他或她可以使用它登錄應用程序，甚至擴展有效性，因為大多數實現都具有到期日。

從安全角度來看，我認為答案很簡單。完成站點註銷後。瀏覽完成後，清除緩存並刪除歷史記錄等。甚至可以關閉瀏覽器後將瀏覽器設置為清除所有內容。

請不要再留下任何痕跡。

請不要單擊電子郵件中的任何彈出窗口或有趣的鏈接。注意從您認為自己所在的站點到另一個站點的重定向。