Grave bug di sicurezza domanda GPS

Ciao a tutti, segnalo un problema di sicurezza nell'accesso alla domanda gps (non so esteso a tutto istanza online).
Entro con l'utenza di mia moglie, compilo la domanda e faccio correttamente il logout.
Se provo poi ad entrare con la mia utenza nella prima pagina, quella con l'elenco delle varie domande da poter prensentare, vedo correttamente il mio nome in alto a destra nel menu di accesso con l'area riservata.
Se provo però a cliccare il link per accedere alla domanda gps mi trovo magicamente loggato con l'utenza di mia moglie
Ho risolto usando due browser diversi, vi consiglio di stare attenti a quale utenza state guardando se usate lo stesso browser in famiglia.
E' comunque molto grave che dopo il corretto logout la sessione rimanga comunque appesa e ripristinabile a partire da una sessione di un altro utente

È così per tutto istanze online.
Da anni.
Il sistema tiene in cache i dati, bisogna chiudere e riaprire il browser.

[quote="arrubiu"]È così per tutto istanze online.
Da anni.
Il sistema tiene in cache i dati, bisogna chiudere e riaprire il browser.[/quote]
Anche riaprendo il browser ottengo lo stesso risultato, l'unica alternativa è fare scadere la sessione precedente (ma non conosco dopo quanti minuti scade) oppure usare browser diversi.
Chiedo scusa se è un bug conosciuto, in realtà ho sempre fatto le domande a mia moglie ed io sto lo sto usando adesso per la prima volta in quanto non ero mai stato interessato.
Da informatico però posso dire che è un bug assurdo, il logout dovrebbe eliminare la sessione. Posso ancora capirlo, ma anche no, se chiudi il browser senza fare un corretto logout ma cosi è proprio da basi della programmazione web

Lo so, anche io sono un informatico, è assurdo.
Però in genere se ti slogghi , chiudi il browser e riapri le cose tornano a posto.
La sessione in realtà è eliminata. È che i dati (mi auguro!) non sono scritti in sessione ma probabilmente in una cache di secondo livello e che viene correttamente ripulita.

[quote="arrubiu"]Lo so, anche io sono un informatico, è assurdo.
Però in genere se ti slogghi , chiudi il browser e riapri le cose tornano a posto.
La sessione in realtà è eliminata. È che i dati (mi auguro!) non sono scritti in sessione ma probabilmente in una cache di secondo livello e che viene correttamente ripulita.[/quote]
Il problema non è nel login, perchè in effetti nel primo menu vieni riconosciuto. Io credo che eliminino sessione e cookie del menu principale.
Il cambio di utente avviene in un secondo momento, quando entri nella domanda. Quindi creano un cookie di sessione specifico per ogni domanda e durante il logout non si preoccupano comunque di andare a cercare ed eliminare tutti i cookie di sessione che possono essere creati.
Quando dal menu vai alla domanda il sistema cerca se esiste un cookie di sessione e, in caso positivo, lo usa. Non hanno mai pensato di controllare che i dati dei due cookie siano coerenti

E una follia. E va avanti da anni..

[quote="arrubiu"]E una follia. E va avanti da anni..[/quote]
Pensa se succedesse per un accesso bancario da un pc usato aziendalmente e disponibile.
Praticamente hai la sicurezza che nei 15 minuti successivi (o fino alla scadenza di sessione precedente) di poter entrare con le credenziali della persona che ha usato il pc precedentemente.
E poi se sei bravo ed usi il pc con criterio hai la possibilità di non far scadere mai la sessione della persona che devi fregare