我对长会话超时的安全风险有所了解。另一方面,我可以在一个月后返回到伟大的网站,我发现我仍然登录。会话超时安全问题
stacoverflow.com本身就是这种情况,但gog.com或g2a.com工作在一样的方法。那么关于这个的金科玉律是什么?
我将建立一个电子商务网站和长会话超时将是非常方便的客户。我想这不是一个简单的答案,因为在电子商务网站上,人们可以花钱。尽管短时间(例如1小时)会非常不方便。我认为最短的可接受超时时间(从客户方面来说)是一周。
有些网站使用较短的会话超时,但自动(!)把“记住我”或令牌的cookie,导致是相同的。有什么区别吗?
如果您在默认情况下允许长会话超时,那么风险是在共享计算机上 - 未来的用户访问当前用户的会话。如果你试图责怪用户不注销,那么你会发现你的用户群减少,你将不得不面对很多最终用户的投诉。
最佳做法是在默认情况下短暂的停顿,但允许选项“记得我在此设备上”,这样,如果他们是在一个信任的环境中的人可以选择长期课程。黄金法则是“默认安全”。
这是非常可以说,黄金法则是“默认安全”,但另一方面,有懒惰的客户,并期望方便。便利是他们的关键因素。没有这种便利,他们可以轻松选择另一个电子商务网站。 – igoemon
@igoemon,好吧做另一个,然后让我知道它是怎么回事:-) – TheGreatContini
我会测试它。最糟糕的情况是什么?其他人以后付费方式订购(因为假客户不知道付款细节)。在这种情况下,客户简单地发回订单。如果它经常发生,我们可以切换回更短的会话超时。 – igoemon
亚马逊,例如,可以让你保持登录状态永远和浏览网站,但需要你,如果你执行像敲定购买或查看帐户细节方面有一些动作灵敏数小时后重新认证。 – Blender