É ruim selecionar a opção lembrar-me nos navegadores de uma máquina comprometida?

Se a máquina estiver comprometida, tudo que você digitou ao fazer login (como seu nome de usuário e senha) pode ser comprometido, então "Remember me" não importa mais.

Mas mesmo que nos atenhamos apenas aos cookies, o hacker pode extrair os cookies da sessão do perfil do navegador e usá-los em seu navegador.

Exemplo: o Firefox armazena todos os seus dados em ~/.mozilla , o hacker pode simplesmente copiar essa pasta para o sistema e colocá-la no lugar da sua própria pasta de perfil, e quando ele usa esse navegador com sua pasta de perfil, todos os sites acho que na verdade é você (exceto alguns sites que também olham para o IP do usuário que será o do atacante, infelizmente muitos sites não oferecem esse recurso).

Se alguém estiver farejando tráfego na sua LAN e você acessar o Facebook, graças a Edward Snowden que expõe a NSA, sua conexão com o Facebook será criptografada usando HTTPS e o terceiro não poderá ver nada de útil em sua sessão. Na era Pós-Snowden, a maioria dos serviços de Internet permite conexões HTTPS por padrão para impedir que a NSA possa aspirar o tráfego de Internet do mundo e roubar seus e-mails.

A opção "Lembrar-me" apenas cria um cookie de sessão que o serviço (o Facebook, por exemplo) terá prazer em aceitar "para sempre". Atualmente quase todos os serviços funcionam gerando um cookie de sessão que o cliente (seu navegador) irá transmitir repetidamente durante a sessão. Então, a opção "lembre-se de mim" na verdade "apenas" diz ao serviço / servidor para continuar aceitando esse cookie de sessão recém-gerado para sempre.

Se você não selecioná-lo, o serviço irá "encerrar sua sessão" (também conhecido como "desconectar-se") e tecnicamente "parar de aceitar seu cookie de sessão") após algum tempo de inatividade, dizer algo entre 10 minutos serviços) e várias horas.

Como outras pessoas dizem, "lembre-se de mim" não deve fazer uma grande diferença se alguém estiver farejando o seu tráfego, porque você deve estar se conectando através do httpS em qualquer caso ... E se você usar http simples não criptografado, o homem no meio seria apenas farejar seu nome de usuário / senha de qualquer maneira, cookies de sessão não fazem diferença! Então eu não acho que a afirmação na citação postada na questão realmente aponta para o problema certo.

E se alguém invadiu seu PC, como outros disseram, você tem um problema muito maior do que os cookies de sessão persistentes!

Dois outros casos a mencionar: se você deixar seu computador sem vigilância, sem usar o protetor de tela, usar a opção "lembrar-me" significa que você entrará em sua conta imediatamente quando visitar a página ... mas se não e seu navegador lembra suas senhas você está na mesma situação .... Ou se você usar "lembre-se de mim" em um computador que não possui, como o computador de um amigo ou um cybercafé (mas, tecnicamente, isso é idêntico ao caso do "PC hackeado"):

IMHO a maior diferença real em usar a opção "lembre-se de mim", é que por estar permanente e constantemente logado em sua conta (Facebook por exemplo), você fornece rastreadores da web em outras páginas ( dizer quando você visita algum site de notícias) com informações de rastreamento perfeitas e contínuas! O Facebook e as empresas de publicidade estão extremamente felizes com você!