長いセッションタイムアウトのセキュリティリスクについては赤字です。一方、私は一ヶ月後に偉大なウェブサイトに戻ることができ、私はまだログインしていることがわかります。セッションタイムアウトセキュリティの懸念
stacoverflow.com自体のケースですが、gog.comやg2a.comは同じ方法。では、これについての黄金のルールは何ですか?
私は電子商取引サイトを作成し、長いセッションタイムアウトは顧客にとって本当に便利です。私はそれが簡単な答えではないと思う、電子商取引サイトで人々がお金を費やすことができるため。それにもかかわらず、短いタイムアウト(例えば1時間)は非常に不便である。私は、顧客の側面からの最短受け入れタイムアウトが1週間だと思います。
一部のサイトでは短いセッションタイムアウトを使用しますが、自動的に(覚えておいてください)、結果を同じにするトークンクッキーを保存します。違いはありますか?
デフォルトで長いセッションタイムアウトが許可されている場合、リスクは共有コンピュータ上にあります - 将来のユーザーは現在のユーザーのセッションにアクセスします。ログアウトしないようにユーザーを非難しようとすると、ユーザーベースが減少し、多くのエンドユーザーからの苦情に対処する必要があります。
ベストプラクティスは、デフォルトでタイムアウトを短くすることですが、信頼できる環境にある場合に長いセッションを選ぶことができるように、「このデバイスで私を覚えておいてください」というオプションを許可します。ゴールデンルールは、 "デフォルトでは"です。
ゴールデンルールは「デフォルトでは安全」と言われていますが、一方では怠け者であり利便性を期待する顧客がいます。利便性は彼らにとって重要な要素です。この利便性がなければ、別の電子商取引サイトを簡単に選択できます。 – igoemon
@ igoemon、大丈夫それは他のwAyをし、私はそれが行く方法を知らせてください:-) – TheGreatContini
私はそれをテストします。最悪の場合のシナリオは何ですか?誰かがポストペイドで何かを注文する(偽の顧客は支払いの詳細を知らないので)。この場合、顧客は簡単に注文を送り返す。それが頻繁に起こる場合は、より短いセッションタイムアウトに切り替えることができます。 – igoemon
たとえばAmazonでは永久にログインしてサイトを閲覧できますが、購入の確定やアカウントの詳細の表示などの慎重な操作を行うと、数時間後に再認証する必要があります。 – Blender