Perché alcune banche online impongono il logout sul pulsante Indietro?

Naviga le tue risposte
40

Un modello di progettazione che ho notato sui siti di internet banking è che tieni automaticamente disconnesso e inviato a una pagina di avviso se / quando premi il pulsante Indietro sul tuo browser, termina la sessione e ti obbliga ad accedere di nuovo.

Presumo che ciò sia dovuto a qualche tipo di considerazione sulla sicurezza, ma non riesco a capire cosa. Qual è la logica di questo comportamento?

    
posta Nick F 13.01.2016 - 15:56
fonte

3 risposte

55

Uno scenario in cui tali banche potrebbero voler proteggerti potrebbe essere questo:

  1. visiti il tuo sito web bancario e fai il tuo materiale bancario.
  2. una volta terminato, scollegati e naviga in un altro sito Web per guardare le foto dei gatti o qualsiasi altra cosa.
  3. si lascia il computer con il sito Web delle foto di gatto aperto. Perché non c'è niente di compromettente sul tuo schermo, ti senti sicuro farlo.
  4. il tuo malvagio compagno di stanza arriva e preme il pulsante indietro un paio di volte.
  5. arrivano alla versione cache del tuo sito bancario, vedi il tuo conto bancario e vedi che ancora non hai pagato la tua quota dell'affitto anche se chiaramente avere abbastanza soldi per farlo.

Questa è una delle ragioni per cui i siti web bancari non funzionano quando ti indirizzi con il pulsante Indietro del browser.

Ma una ragione ancora più probabile potrebbe essere la pigrizia da parte degli sviluppatori web.

Consentire all'utente di utilizzare la navigazione indietro e in avanti crea una variabile aggiuntiva in un'applicazione Web che deve essere tenuta presente in ogni momento. Semplicemente rendendo impossibile questo rimuove quella variabile e rende molto più facile per gli sviluppatori creare un'applicazione sicura e priva di bug. Poiché i bug nelle applicazioni bancarie possono causare molti danni finanziari, gli sviluppatori di quel settore sono piuttosto prudenti e tendono a limitare l'usabilità quando si traduce in un modello di utilizzo delle applicazioni più prevedibile.

    
risposta data 13.01.2016 - 16:05
fonte
27

Ci sono un paio di cose qui:

I siti bancari useranno le intestazioni di controllo della cache per vietare il caricamento in cache delle pagine. Quindi quando fai clic sul browser devi ricaricare la pagina dal server.

Alcune parti del sito possono avere un flusso di pagine rigido, ad es. inserisci i dettagli della transazione, inserisci il tuo codice SMS, visualizza la conferma della transazione. Questi richiedono un monitoraggio rigoroso di quale pagina si dovrebbe essere. Quindi, se fai clic su di nuovo, si interrompe e ottieni un errore.

Può anche verificarsi a causa di dubbi tentativi di migliorare la sicurezza del sito. Ad esempio, alcune banche hanno token di sessione nell'URL che cambiano a ogni richiesta e se si torna indietro il token non è più valido.

Di solito non è necessario che il sito abbia questo comportamento. Tornando indietro di dieci anni o giù di lì era molto comune, anche se meno adesso.

    
risposta data 13.01.2016 - 16:19
fonte
8

Questo non è così comune ora, ma un po 'di tempo fa molti siti web erano solo wrapper HTML attorno al terminale classico ( IBM 3270 e simili) le applicazioni che venivano raschiate in modo statale, e questo era particolarmente diffuso nelle industrie legacy in cui l'idea di una separazione tra vista e modello era molto, molto nuova. È possibile che molti siti Web bancari siano ancora implementati in questo modo, o che fossero e abbiano ancora il comportamento di prevenzione dei "back-button" "nel caso in cui".

    
risposta data 14.01.2016 - 06:23
fonte

Leggi altre domande sui tag

Si può usare la protezione antivirus / antivirus per spiarti? [chiuso] Due firewall sono meglio di uno?