> Не в том дело.Именно в том. Остаются как правило:
1) Некоторые ресурсы не до конца стирают кукисы, что позволяет сервису узнавать тебя даже если формально ты и не залогинен. Что не мешает трекать тебя по другим кукисам.
2) Web storage или как там его. Еще один persistent storage. Если ты его разрешил - там вполне можно прихранить уникальный идентификатор тебя любимого. Дальше хоть образлогинивайся, а если идентификатор совпал - это ты. Хоть и без логина.
3) Флеш имеет свой механизм persistent storage по типу кукисов. Браузер, понятное дело, ничего про это не знает. Потому что это для него вообще чужеродный элемент.
Так что дело именно в том. Где-то подвисает уникальный идентификатор который позволяет понимать что ты - это ты. И отслеживать похождения Ларри МакЛаффера. Ну там для АНБ, маркетологов и прочая.
>> А вот упомянутая штукенция сносит кукисы при закрытии вкладки. Хорошо придумано :).
> Увы -- нет. На работу сервера эта штукенция не влияет.
С точки зрения клиента изначально неизвестно кто это такое и что это за клиент. Поэтому если регулярно "терять хвост" из кукисов - на сервере останутся какие-то малоинформативные не связанные между собой сессии.
> И если сервер продолжает помнить про эти кукисы и считать их рабочими,
Пусть себе считает. Если у меня их в браузере нет - сервер может с таким же успехом думать на любого другого клиента что он - это я. Подтверждением того что я это я - выступает предоставление серверу установленных им кукисов. Если я этого не делаю - нет никаких оснований считать меня именно тем клиентом которому кукисы установили.
> то не "сносит", лишь лишает вас возможности этими кукисами воспользоваться,
Ты вообще в курсе что такое куки и как это работает? Похоже что нет.
> если вы их предварительно не скопипастили куда-нибудь.
Опять же - как вы верно заметили, сервер ничего уже не забудет. Однако если я закрыл сайт и поубивал состояние JS и прочая - при следующем посещении сайт может меня отличить от остальных только по кукам которые ранее установлены. Если клиент их пришлет. Сам. Показав попутно что он - это именно он, а не Вася Пупкин. Именно это и позволяет делать авторизацию на основе кук - предоставление юзером верного кукиса с хорошей долей достоверности подтверждает что это именно тот кто логинился на сайт. И именно поэтому кража кукисов позволяет подделать логин на сайт зачастую и вломиться туда совершенно постороннему атакующему под логином того кто куки профукал. Для сервера любой кто предоставил кукисы - "тот юзер" и все тут. Посторонний субъект умыкнувший куки вполне может быть засчитан за легитимного клиента. Именно поэтому JS-иньекции и тому подобный крап довольно разрушительны для веба: атакующий в общем случае может угнать аккаунт жертвы, т.к. сперев куки может правдоподобно претендовать на то что это он - вот тот пользователь.
> Если вы их удалите, у вора они останутся.
Или не останутся, если я удалил их ДО того как их сперли. В этом случае атакующий получает дырку от бублика, что до кучи несколько повышает безопасность браузинга. Если у меня нечего красть - это не украдут, ха-ха :)
