我對長會話超時的安全風險有所瞭解。另一方面,我可以在一個月後返回到偉大的網站,我發現我仍然登錄。會話超時安全問題
stacoverflow.com本身就是這種情況,但gog.com或g2a.com工作在一樣的方法。那麼關於這個的金科玉律是什麼?
我將建立一個電子商務網站和長會話超時將是非常方便的客戶。我想這不是一個簡單的答案,因爲在電子商務網站上,人們可以花錢。儘管短時間(例如1小時)會非常不方便。我認爲最短的可接受超時時間(從客戶方面來說)是一週。
有些網站使用較短的會話超時,但自動(!)把「記住我」或令牌的cookie,導致是相同的。有什麼區別嗎?
如果您在默認情況下允許長會話超時,那麼風險是在共享計算機上 - 未來的用戶訪問當前用戶的會話。如果你試圖責怪用戶不註銷,那麼你會發現你的用戶羣減少,你將不得不面對很多最終用戶的投訴。
最佳做法是在默認情況下短暫的停頓,但允許選項「記得我在此設備上」,這樣,如果他們是在一個信任的環境中的人可以選擇長期課程。黃金法則是「默認安全」。
這是非常可以說,黃金法則是「默認安全」,但另一方面,有懶惰的客戶,並期望方便。便利是他們的關鍵因素。沒有這種便利,他們可以輕鬆選擇另一個電子商務網站。 – igoemon
@igoemon,好吧做另一個,然後讓我知道它是怎麼回事:-) – TheGreatContini
我會測試它。最糟糕的情況是什麼?其他人以後付費方式訂購(因爲假客戶不知道付款細節)。在這種情況下,客戶簡單地發回訂單。如果它經常發生,我們可以切換回更短的會話超時。 – igoemon
亞馬遜,例如,可以讓你保持登錄狀態永遠和瀏覽網站,但需要你,如果你執行像敲定購買或查看帳戶細節方面有一些動作靈敏數小時後重新認證。 – Blender