Das ist natürlich ein Sicherheitsloch, denn wenn sich der Benutzer auf Ihrer Website anmeldet und sich abmeldet, kann sich jeder, der diesen Computer benutzt (mit demselben Account auf dem Computer), auf Ihrer Website anmelden.
Beachten Sie, dass dieses Problem auch für alle Websites auftritt, nur in der Regel beschränkt auf die Lebensdauer der Sitzung.
Da so alle Websites funktionieren, glaube ich nicht, dass dies ein echtes Sicherheitsloch ist, aber es ermutigt die Benutzer definitiv, die Sicherheit zu vernachlässigen. Es ist ein Stuhl/Tastatur-Schnittstelle Sicherheitsloch: P
Wie @Ed Heal sagt, speichern Sie kein Passwort in den Cookie, speichern Sie stattdessen ein zufälliges Token, die Sie in der DB speichern. Der Login-Prozess sollte prüfen, ob der in der DB gespeicherte Cookie dem auf dem Cookie entspricht.
Ich habe nichts dagegen, die Methode nicht in einigen Szenarien funktioniert, ich will es nur als Extra zur Verfügung stellen, nicht Als das grundlegende Anmeldesystem.Wenn es fehlschlägt, gehen sie einfach zum Anmeldebildschirm und geben ihre Daten ein.Ich habe auch nichts dagegen, anderen Benutzern mit demselben Maschinenzugriff Zugriff zu geben.Es ist die Verantwortung des Benutzers, sich zu loggen Wenn ich öffentliche Computer benutze, ist natürlich das Speichern des Passworts ein Sicherheitsvergehen meinerseits. – ppp
Warum nicht die Methode, die Yahoo (unter anderem) verwendet, verwenden? Aktivieren Sie ein Kontrollkästchen, um sich einzuloggen. Dann standardmäßig, wenn Der Browser schließt, sie sind ausgeloggt. –