Ich habe rot über die Sicherheitsrisiken der langen Sitzung Timeout. Auf der anderen Seite kann ich nach einem Monat zu tollen Webseiten zurückkehren und sehe, dass ich noch eingeloggt bin.Sitzungs-Timeout-Sicherheitsbedenken
Es ist der Fall mit dem stacoverflow.com selbst, aber die gog.com oder g2a.com funktioniert in in der gleichen Weise. Was ist die goldene Regel dafür?
Ich werde eine E-Commerce-Website erstellen und die lange Sitzung Timeout wäre wirklich bequem für die Kunden. Ich denke, das ist keine einfache Antwort, denn auf einer E-Commerce-Website können Menschen Geld ausgeben. Trotzdem wäre eine kurze Auszeit (z.B. 1 Stunde) äußerst unbequem. Ich denke, die kürzeste akzeptable Timeout (aus Sicht der Kunden) ist eine Woche.
Einige Seiten verwenden ein kurzes Session-Timeout, aber automatisch (!) Setzen Sie ein "merke mich" oder Token-Cookie, deren Ergebnis gleich ist. Gibt es einen Unterschied?
Mit Amazon können Sie zum Beispiel dauerhaft angemeldet bleiben und die Site durchsuchen. Sie müssen sich jedoch nach einigen Stunden erneut authentifizieren, wenn Sie sensible Maßnahmen wie den Abschluss eines Kaufs oder das Anzeigen von Kontodetails ausführen. – Blender