会话超时安全问题
Session timeout security concerns
我正在创建一个电子商务网站。长会话超时对客户来说真的很方便。我认为最短的可接受超时时间是一周。
我了解了长时间会话超时的安全风险。但是,它允许我在一个月后 return 访问网站并且我仍然处于登录状态。whosebug.com、gog.com 和 g2a.com 等网站都使用长会话超时。关于这个的一般规则是什么?
有些网站使用较短的会话超时,但会自动选中“记住我”复选框或使用 cookie 中的标记来获得相同的结果。有区别吗?
如果默认情况下允许长时间会话超时,则共享计算机存在风险 - 未来用户访问当前用户的会话。如果你试图责怪用户没有注销,那么你会发现你的用户群在减少,你将不得不处理大量的最终用户投诉。
最佳做法是默认设置较短的超时时间,但允许一个选项 'remember me on this device',以便人们在受信任的环境中可以选择长时间会话。黄金法则是“默认安全”。
我正在创建一个电子商务网站。长会话超时对客户来说真的很方便。我认为最短的可接受超时时间是一周。
我了解了长时间会话超时的安全风险。但是,它允许我在一个月后 return 访问网站并且我仍然处于登录状态。whosebug.com、gog.com 和 g2a.com 等网站都使用长会话超时。关于这个的一般规则是什么?
有些网站使用较短的会话超时,但会自动选中“记住我”复选框或使用 cookie 中的标记来获得相同的结果。有区别吗?
如果默认情况下允许长时间会话超时,则共享计算机存在风险 - 未来用户访问当前用户的会话。如果你试图责怪用户没有注销,那么你会发现你的用户群在减少,你将不得不处理大量的最终用户投诉。
最佳做法是默认设置较短的超时时间,但允许一个选项 'remember me on this device',以便人们在受信任的环境中可以选择长时间会话。黄金法则是“默认安全”。