最近我一直在想這個,我想從這個美妙的社區得到一些反饋。假設用戶在登錄時想被記住是否安全?如果他們使用的是公用計算機,假設他們在離開之前足夠聰明以便註銷,是否安全?我們是否應該棄用「記住我」複選框並開始假設?
回答
我真的不認爲假設任何有關最終用戶的安全。
此外,用戶更容易關閉瀏覽器而不是退出每個網站,因此提供一個記住我默認爲false的複選框對用戶而言是友好的,而且對於他們來說整體而言更簡單。
不要假設你的用戶會做你希望他們做的事情,如果你沒有明確告訴他們(即強迫他們)這樣做。
「記住我」複選框是一個極好的例子,表明無知的用戶可以是 - 即使複選框在那裏,用戶在公用計算機上保持登錄的事實是一個問題。它不會幫助,如果你開始假設...
不,最好不要假設什麼,特別是像記住用戶的東西。
如果他們在朋友家或公共計算機上忘記註銷會怎麼樣?
不。在這個隱私太少的年代,任何潛在漏洞都應該關閉。網站應該獲得更多安全,不會更少。
如果您的網站與安全無關(即:您不是銀行,醫療或保險公司),那麼我會撤銷複選框。將「記住我」設爲默認值,並選中「我們是公用計算機,不要存儲我的密碼」複選框。這是我作爲用戶的願望,因爲我討厭「記住我」複選框,也因爲他們大多數時間都不工作。
既然大多數瀏覽器都可以記住密碼,那麼設置remember-me cookie也沒什麼意義,所以你可以擺脫這個選項。然後用戶可以不再抱怨,如果他們清除他們的cookies,然後想知道爲什麼你的網站不知道他們從亞當...
但是,不要假設用戶將註銷。他們不會,並且通過標籤瀏覽,會話cookie可能會持續很長一段時間 - 如果他們繼續使用休眠/睡眠模式並且只有在崩潰時才重新啓動瀏覽器,則可能會持續數天。因此,您需要設置合理的不活動超時時間,並要求它們在過期後重新登錄。
假設用戶在登錄時想要記住 是否安全?
我想說的是,在80%的案例中(我的總猜測),連接到您網站的人不是通過公共計算機,他們寧願不必每次都輸入他們的信息 他們來到網站。
如果他們使用的是公用計算機 ,是安全的假設, 他們有足夠的智慧 臨行前註銷?
不,這並不安全。而聰明甚至不是適當的名詞 - 這更多的是回憶或甚至意識到我會說的問題。
所以我說走安全路線。提供一個「記住我」複選框,並且默認情況下不要選中它。人們習慣於這種情況。這不是什麼大不了的事情,並且比起默認檢查來說更麻煩,或者更糟糕的是不提供它並且默默地進行。
號不要忘了那句老話:
當你做一個假設,你讓 的「屁股」出「U」和「mption」的。
我認爲它應該在非重要網站上,但從未默認檢查,並且從未自動假定爲通緝。如果人們不想記住他們的登錄信息或重新輸入他們,請讓瀏覽器的密碼管理員或任何與它有關的事情,而不是網站。用戶通常不會註銷 - 只需關閉瀏覽器計數即可。
想法我會更新這個討論,任何人從歐洲發現這個問題,歐盟Cookie法將於2012年5月25日生效。法律將要求所有歐洲網站在獲得訪問者的知情同意後才能存儲或檢索計算機或任何其他網絡連接設備上的任何信息。由於「記住我」幾乎肯定需要使用cookie,因此您絕對不能認爲用戶會被記住,事實上,從5月25日起,這樣做將會變得非法,除非您以某種方式獲得cookie的使用許可來自您的用戶。
關於網站如何遵守新法律有多種策略,目前流行的選擇是在您的網站上突出顯示一個站點寬的Cookie選擇,這會禁用所有Cookie操作,直到用戶激活它們。這是另一個線程的討論,但這裏的信息是,如果你的網站在歐洲以外運營,你不能假設。
- 1. 是OpenID的「記住我」複選框開發人員使用?
- 2. Android登錄記住我複選框
- 3. 彈簧安全「記住我」複選框
- 4. 添加一個「記住我」複選框
- 5. 我們是否應該始終設置驗證組
- 6. Bootstrap layout - 我們是否應該始終使用XS col類
- 7. 我們是否應該始終在特質中使用`override`
- 8. 記住我的複選框不要保存用戶名,並通過再次打開應用時
- 9. 我們應該開源嗎?
- 10. 記住複選框的值
- 11. 選框移動應該在鼠標懸停時停止並開始休假?
- 12. 我是否應該開始使用Windows Azure
- 13. 我們應該選擇Angular1還是Angular2?
- 14. 我們是否應該記錄HTTP 400的堆棧跟蹤
- 15. 我應該刪除假設索引嗎?
- 16. 我得到複選框的假值
- 17. 使用複選框記住Gridview狀態
- 18. 我的記憶使用假設:它是否正確?
- 19. 我應該使用什麼MySQL字段來顯示是/否複選框值?
- 20. 我們是否應該重載配置設置的含義?
- 21. 我們是否應該爲Android L Material主題設計?
- 22. 記得我複選框
- 23. 在iOS和Cocoa Touch上,我們是否應該假設我們應該總是發送「超級」相同的消息?
- 24. ASP.NET MVC新手 - 默認登錄頁面記住我複選框
- 25. 將'記住我'複選框轉到提交
- 26. Rails,HAML記住我複選框不工作
- 27. 刪除記住我從asp複選框:登錄控制
- 28. 我應該如何開始使用neo4j?
- 29. 我應該如何開始使用Iphone?
- 30. 「記住我」選項 - 我該如何實現它?
使用瀏覽器的「記住密碼」功能,用戶仍然需要進入登錄頁面,可能從記住的用戶名列表中選擇他們的用戶名(然後密碼將自動填充),然後單擊登錄按鈕,然後轉到他們想要的網站頁面。網站的「記住我」功能快捷鍵 - 用戶只需直接進入他們想要的頁面並自動登錄即可。「記住我」仍然有用。 – 2010-04-29 21:56:13