Re: Is logoff feature necessary

[Vicente Aguilera <vaguilera () isecauditors com>]

Hi all,

As it is commented in the OWASP guide:
"All applications should have a method of logging out of the 
application. This is particularly vital for applications than contain 
private data or could be used for identity theft".

If a user forgets to close the browser or he is forced (social 
engineering?), the attacker can access to the victim session.

Regards,

_________________________________
Vicente Aguilera Díaz
Consultor en Seguridad
CISA, ITIL, CEH Instructor, OPSA, OPST
vaguilera () isecauditors com

Internet Security Auditors, S.L.
c. Santander, 101. Edif. A. 2º 1ª.
08030 Barcelona
Tel: +34.933.051.318
Fax: +34.932.782.248
www.isecauditors.com
_________________________________
Este mensaje y los documentos que, en su caso lleve anexos, pueden contener información confidencial. Por ello, se 
informa a quien lo reciba por error que la información contenida en el mismo es reservada y su uso no autorizado está 
prohibido legalmente, por lo que en tal caso le rogamos que nos lo comunique por la misma vía o por teléfono 
(+34.933.051.318), se abstenga de realizar copias del mensaje o remitirlo o entregarlo a otra persona y proceda a 
borrarlo de inmediato.

En cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal, Internet 
Security Auditors S.L., le informa de que sus datos personales se han incluido en ficheros informatizados titularidad 
de Internet Security Auditors S.L., que será el único destinatario de dichos datos, y cuya finalidad exclusiva es la 
gestión de clientes y acciones de comunicación comercial, y de que tiene la posibilidad de ejercer los derechos de 
acceso, rectificación, cancelación y oposición previstos en la ley mediante carta dirigida a Internet Security 
Auditors, c. Santander, 101. Edif. A. 2º 1ª, 08030 Barcelona, o vía e-mail a la siguiente dirección de correo: legal () 
isecauditors com
_________________________________



test.future () gmail com wrote:
> We have a web applicaiton which do not have logoff button. The developer claims that it is unnecessary, since the 
> session can be terminated by closing the browser. Is it correct? Thanks.
>
> -------------------------------------------------------------------------
> Sponsored by: Watchfire
>
> The Twelve Most Common Application-level Hack Attacks
> Hackers continue to add billions to the cost of doing business online 
> despite security executives' efforts to prevent malicious attacks. This 
> whitepaper identifies the most common methods of attacks that we have seen, 
> and outlines a guideline for developing secure web applications. 
> Download this whitepaper today!
>
> https://www.watchfire.com/securearea/whitepapers.aspx?id=701300000007t9r
> --------------------------------------------------------------------------
>
>
>   



-------------------------------------------------------------------------
Sponsored by: Watchfire

The Twelve Most Common Application-level Hack Attacks
Hackers continue to add billions to the cost of doing business online 
despite security executives' efforts to prevent malicious attacks. This 
whitepaper identifies the most common methods of attacks that we have seen, 
and outlines a guideline for developing secure web applications. 
Download this whitepaper today!

https://www.watchfire.com/securearea/whitepapers.aspx?id=701300000007t9r
--------------------------------------------------------------------------