所以我需要为WordPress实现自动注销功能。使用JavaScript,这似乎很简单;
<title>以获得关注看到自动注销功能的重点是安全性,是否认为有必要进行无JavaScript回退?
如果是这样,我能看到的唯一解决方案是存储&amp;比较连续请求的访问时间,但我已经看到的警告是
我可以说,为了论证,服务器端解决方案在请求之间的Z 小时之后注销,而不是JavaScript的更短的时间?
您对此事有何看法,以及我提出的解决方案?
答案 0 :(得分:1)
使用Javascript对我来说似乎不稳定。如果威胁是用户在登录时离开计算机,然后攻击者在他的帐户上走路并做坏事,那么攻击者很可能只是在走到计算机时禁用javascript。当然,除非攻击者到达目的地时计时器已经命中。但这意味着计时器必须非常短。
我不了解您,但我讨厌在几分钟内自动注销您的网站。对IMO来说,这是一个非常小的安全利益的麻烦。它对我来说似乎不是一个现实的威胁:有人跟随你的一个用户,碰巧在公共场所,使用一个重要的帐户,然后离开计算机无人看守?
更现实的威胁是,连接本身会被某人从浏览器中退出而没有实际注销或其他东西而被劫持。服务器端超时可能是一个小时在那里是有用的。