Ob Cookies gelöscht werden oder nicht, ist aber auch eine Frage der Browserkonfiguation, auf die man selbst Einfluss nehmen kann.

Oder auch die Antwort auf die Frage: Immer angemeldet bleiben, bei etlichen Seiten ...

Wer den FireFox nutzt, schaue mal hier Datenschutz & Sicherheit, was man da so alles selbst in der Hand hat.

Grob kann man aber sagen: Bequemlichkeit bei der Browsernutzung geht zu Lasten der Sicherheit. Wenn ich vom Browser erwarte, dass er so allerlei für mich automatisch erledigt, muss ich damit leben, dass jemand anderes das missbrauchen kann. Und das Ergebnis ist schlimmstenfalls, dass ich keinerlei Einfluss mehr auf mein System habe.

Das gilt allgemein. In meinen Sessions / Workshop zu IAM-Themen kommt immer der Spruch: "Du kannst es einfach haben, oder sicher. Such Dir eins aus."

Ich dachte immer, Session Cookies hätten serverseitig eine relativ kurze Gültigkeit, eben um genau solche Szenarien zu verhindern?

Aber OK, jetzt, wo ich das schreibe, fällt mir auf, dass mein Login in Wordpress auch ziemlich lange gültig ist. In der Regel mehrere Wochen.

Ja eigentlich schon, aber du kennst die Vergesslichkeit, Dummheit oder Faulheit von Entwicklern nicht.

[add]
Hier in der DP auch bestimmt ein halbes Jahr, oder eher mehr.
Session-Kekse bis zum Ende der Session, aber das Merken für ein Jahr.