Puis-je simplement me déconnecter en effaçant les cookies au lieu de fermer la session?
Souvent oui, pour les raisons que vous avez fournies dans votre question: sans le jeton de session dans vos cookies, une application Web typique ne saura pas qui vous êtes.
Quels sont les problèmes liés au simple effacement des cookies par rapport au clic sur le bouton de déconnexion?
Applications Web qui gérer l'authentification en suivant les directives de gestion de session OWASP invalidera la session côté serveur lorsque vous vous déconnecterez explicitement. Si vous supprimez simplement le cookie avec le jeton de session, la session peut être sujette à un détournement de session.
Utilisation des verrous de porte comme analogie pour ceux qui ne sont pas familiarisés avec les meilleures pratiques de développement d'applications Web (grâce à la discussion dans les commentaires):
Votre compte peut être vu comme une pièce dans un bâtiment. Lorsque vous vous connectez, le propriétaire du bâtiment crée une porte et y met un verrou automatique, de sorte que vous seul pouvez entrer. Votre jeton de session est votre clé, et est généralement stocké dans les cookies de votre navigateur, mais peut être stocké dans d'autres endroits.
Supprimer votre jeton en supprimant vos cookies, en vidant le cache, etc., c'est simplement détruire votre copie de la clé.
Déconnexion explicite, c'est demander au propriétaire du bâtiment de maçonner la porte. Rien ne garantit qu'ils sécuriseront votre compte, mais en tant qu'utilisateur, vous faites explicitement connaître vos souhaits.
Un attaquant peut obtenir une copie de votre clé de différentes manières, appelée session détournement, qui est de la responsabilité du propriétaire du site d'atténuer, pas les utilisateurs.
Tout d'abord, l'attaquant peut juste deviner. Si le site génère des clés de session de manière séquentielle ou utilise une méthode de génération pseudo-aléatoire à faible entropie, cela rend les devinettes beaucoup plus faciles. Les sites atténuent cela en utilisant des jetons d'entropie élevée et un recyclage de session périodique. Les sessions de recyclage n'empêchent pas l'accès, mais cela rend évident lorsqu'un accès non autorisé a été accordé.
Deuxièmement, l'attaquant peut utiliser la fixation de session: il vous donne une clé avant de vous connecter, que vous continuez à utiliser après vous être connecté. Les sites atténuent ce problème en recyclant explicitement la session lorsque vous vous connectez.
Troisièmement, une attaque de type Man-in-the-Middle. L'attaquant peut voir votre clé directement. TLS atténue cela. Il est possible de décrypter le trafic TLS via des attaques de rétrogradation, des implémentations non sécurisées et des attaques zero-day, mais celles-ci sont loin du domaine de l'utilisateur, les attaques rares et zero-day contre TLS ont tendance à générer BEAUCOUP de bruit lorsqu'elles sont découvertes (Heartbleed, et al).
En tant qu'utilisateur, vos responsabilités sont de vous déconnecter et de tenir le site responsable lorsqu'ils prennent des raccourcis avec sécurité, tout comme votre responsabilité avec votre voiture dans un parking public est pour verrouiller vos portes. Si les verrous de porte sont contournés de manière triviale, c'est la faute du fabricant, pas la vôtre.