セッション破棄時のCookieのクリアについてやり取りさせていただいたのだが、
そのときのツイートがこれ。
@ockeghem: セキュリティ的には関係ないですね。セッションIDは
タダの乱数ですから、サーバー側で破棄すれば悪用できない
RT @terutorr: ...5.1.7ログアウト機能でセッション破棄はしてるけど
Cookieのクリアはしなくてよい? セキュリティ的には関係ないのか。 #wasbook
このときはCookieのクリア自体はセキュリティには関係なく、
クリアするしないは気分的な問題だということで決着したのだが、
次の記事を読んで「やはりクリアしておこう」と思ったのでメモ。
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
アナタは四六時中Facebookに追跡されている!? このリスクと対策について : ライフハッカー[日本版]
ログアウト後(セッション破棄後)もブラウザを閉じるまではセッションに使用した
Cookieが一意のIDを送ってくるのでトラッキングに利用できる。
そのようなことをしていないという意思表示のためにも(少なくとも自システムにおいては)
Cookieのクリア(空データ・過去期限のCookie発行)をしておこうと考える。
まぁ、Facebookみたいに訴えられてもかなわんし。(笑)