百度cookie使用分析

1、昨天研究了下百度的cookie，核心是BDUSS这个键，修改为别人的BDUSS就可以随意使用别人的账号访问百度的各项服务，比如贴吧、知道等等。而且这种登陆方式不需要验证码校验。

2、登陆百度只要不退出，服务器端的BDUSS就不会注销，一直可用，即便是临时性cookie（不勾选保存密码复选框，关闭浏览器后cookie失效，但是服务器那面并没注销掉）

3、不同浏览器维护着不同的cookie，cookie存储的文件格式也不尽相同（IE是txt），比如chrome是存在一个名为cookie的sqlite里面（但是要用某种工具打开并且解码查看？），chrome--settings--privacy--content settings--all cookies and site data可以看到所有浏览器保存的经解析的cookies。

4、BDUSS受到http-only保护，不能通过js访问或修改，所有在console中用document.cookie不能把BDUSS打印出来，可以在F12--resources--cookies中查看。本地可以修改BDUSS的属性，让其变成非会话cookie，或者非http-only，这样document.cookie就能把BDUSS打印出来

5、一个浏览器(Chrome)同一时间只有一个cookie(BDUSS)与域(baidu.com)对应

问题：服务器上那个BDUSS没被注销，时效性到底是多久呢？