1. Zuhause
  2. Frage und Antwort
  3. Sitzungs-Timeout-Sicherheitsbedenken

Sitzungs-Timeout-Sicherheitsbedenken

2017-04-09 4 views
0

Ich habe rot über die Sicherheitsrisiken der langen Sitzung Timeout. Auf der anderen Seite kann ich nach einem Monat zu tollen Webseiten zurückkehren und sehe, dass ich noch eingeloggt bin.Sitzungs-Timeout-Sicherheitsbedenken

Es ist der Fall mit dem stacoverflow.com selbst, aber die gog.com oder g2a.com funktioniert in in der gleichen Weise. Was ist die goldene Regel dafür?

Ich werde eine E-Commerce-Website erstellen und die lange Sitzung Timeout wäre wirklich bequem für die Kunden. Ich denke, das ist keine einfache Antwort, denn auf einer E-Commerce-Website können Menschen Geld ausgeben. Trotzdem wäre eine kurze Auszeit (z.B. 1 Stunde) äußerst unbequem. Ich denke, die kürzeste akzeptable Timeout (aus Sicht der Kunden) ist eine Woche.

Einige Seiten verwenden ein kurzes Session-Timeout, aber automatisch (!) Setzen Sie ein "merke mich" oder Token-Cookie, deren Ergebnis gleich ist. Gibt es einen Unterschied?

Quelle

2017-04-09 igoemon

+0

Mit Amazon können Sie zum Beispiel dauerhaft angemeldet bleiben und die Site durchsuchen. Sie müssen sich jedoch nach einigen Stunden erneut authentifizieren, wenn Sie sensible Maßnahmen wie den Abschluss eines Kaufs oder das Anzeigen von Kontodetails ausführen. – Blender

Antwort

1

Wenn Sie standardmäßig lange Sitzungstimeouts zulassen, besteht das Risiko auf gemeinsam genutzten Computern - zukünftige Benutzer greifen auf die Sitzung des aktuellen Benutzers zu. Wenn Sie versuchen, den Benutzer dafür verantwortlich zu machen, dass er sich nicht abgemeldet hat, werden Sie feststellen, dass Ihre Benutzerbasis schwindet und Sie viele Beschwerden von Endbenutzern bearbeiten müssen.

Es empfiehlt sich, standardmäßig eine kurze Zeitüberschreitung zu verwenden, aber die Option "An dieses Gerät erinnern" zu aktivieren, damit sich Benutzer für lange Sitzungen entscheiden können, wenn sie sich in einer vertrauenswürdigen Umgebung befinden. Die goldene Regel lautet "standardmäßig sicher".

Quelle

2017-04-09 21:34:44 TheGreatContini

+0

Es ist sehr zu sagen, dass die goldene Regel "sicher standardmäßig" ist, aber auf der anderen Seite gibt es die Kunden, die faul sind und Bequemlichkeit erwarten. Die Bequemlichkeit ist ein Schlüsselfaktor für sie. Ohne diese Bequemlichkeit können sie leicht eine andere E-Commerce-Site wählen. – igoemon

+0

@igoemon, okay, mach das andere wAy und lass mich dann wissen wie es geht :-) – TheGreatContini

+0

Ich werde es testen. Was könnte das Worst-Case-Szenario sein? Jemand anders bestellt Postpaid (weil ein falscher Kunde die Zahlungsdetails nicht kennt). In diesem Fall kann der Kunde die Bestellung einfach zurücksenden. Wenn es zu oft passiert, können wir zu einem kürzeren Session-Timeout zurückkehren. – igoemon

 Verwandte Themen

  • Keine verwandten Themen^_^