我对红色会话超时的安全风险感到满意。另一方面,我可以在一个月后回到伟大的网站,我发现我还在登录。
stacoverflow.com本身就是这种情况,但gog.com或g2a.com的工作方式相同。那么关于这个的黄金法则是什么?
我将创建一个电子商务网站,长会话超时对客户来说非常方便。我想这不是一个简单的答案,因为在电子商务网站上,人们可以花钱。尽管短暂的超时(例如1小时)会非常不方便。我认为最短的可接受超时(从客户方面来说)是一周。
某些网站使用短暂的会话超时,但会自动(!)设置“记住我”或令牌cookie,其结果是相同的。有什么不同吗?
答案 0 :(得分:1)
如果您默认允许长会话超时,则风险在共享计算机上 - 将来的用户访问当前用户的会话。如果你试图责备用户没有注销,那么你会发现你的用户群减少了,你将不得不处理很多最终用户的投诉。
默认情况下,最佳做法是短暂超时,但允许选择“在此设备上记住我”,以便人们可以选择长会话(如果他们在受信任的环境中)。黄金法则是“默认安全”。