我已經爲Web應用程序編寫了一個插件,該插件將「記住我」複選框插入到登錄表單中。我的一位用戶表示驚訝,他們在註銷後不記得!顯然,已經註銷的人應該保持註銷狀態,並且儘管有特定請求,我不會填寫密碼字段,因爲這意味着以明文形式存儲密碼。註銷後應該存儲電子郵件地址嗎?
我的問題是應該的電子郵件地址/用戶名預填充登錄表單,如果用戶之前已經標誌着「記住我」框?
很明顯,如果在公用計算機上完成,這將有效地將他們的個人信息廣播給使用該計算機的下一個陌生人,但是用戶不應該在公用計算機上使用「記住我」選項。
這樣做的安全考慮是什麼?用戶是否希望在註銷後記住一些細節?
編輯:在我看來,瀏覽器都有一個功能,無論如何要記住表單值和登錄細節,也許這是不必要的。
「記住我」與「讓我登錄」不一樣。
許多銀行的網站使用「記住我」,以保存用戶名(而不是會話)用戶已註銷即使(ING Direct銀行和國民銀行是一對夫婦的例子)。爲安全起見,他們通常隱藏部分名稱。
爲了讓事情爲您的用戶清楚,你可能想改變爲「保持登錄狀態」的措辭或類似的東西。
假設他們的電子郵件地址作爲其用戶標識的存在,這是我期待和我不期望從高安全級別的許多應用中經常看到的行爲。
更安全的實現它來存儲加密的標識符,並且只有當用戶嘗試登錄時纔要求輸入密碼。這是我看到並期望從持有我的金融網站的網站的行爲。確保瀏覽器不記住密碼字段對於這些網站很重要。
在複選框旁邊的公共計算機上放置關於不使用「記住我」的警告是一種很好的做法。
謝謝。這是我想聽到的那種意見。 – clockworkgeek
您絕對應該而不是如果有人使用了「記住我」功能,請預先填寫電子郵件地址/登錄名。請記住,此功能(通常也稱爲「讓我登錄」)旨在在會話中保持登錄狀態。這是一項可用性功能,可以在用戶每次訪問該網站時保存用戶的重新身份驗證。
這是而不是在明確簽出後保留任何部分登錄憑證的方法。是的,瀏覽器可以記住表單字段值,例如登錄名稱,但大多數安全指導明確建議禁用此項(請參閱OWASP Top 10 for .NET developers part 3: Broken authentication and session management)。
在安全系統方面,我當然不認爲有任何用戶的期望,因爲絕大多數的網站不以這種方式操作簡單的預填此數據。如果在明確同意的情況下降低進入門檻是好的,但是當用戶特別退出或結束他們的會議時,而不是當他們的行爲與他們期望的不一致時,則不是。
我想你已經挑出了問題的癥結:語義。不同的人期望我們使用這些模糊術語的不同行爲。行爲出乎意料是不好的做法,但我們不能總是預測對每個人意味着什麼。我想我必須避免這個問題,並使其成爲任何人配置網站的可選項。從詢問這裏和其他地方看來,大多數人更喜歡享受那種便利。就我個人而言,我覺得它很可疑,並且會同意@Troy Hunt的觀點,「當用戶明確退出時,[不好]。」 – clockworkgeek
此外,我喜歡銀行隱藏確切用戶名的例子,只表示該人被識別。如果越來越多的人預期這種行爲,他們可能會更不願意向他們提供「更新您的帳戶」類型的釣魚網站的全部詳細信息。 – clockworkgeek