Quanto dovrebbe durare una sessione del browser?

Naviga le tue risposte
4

Ho due account online di banche diverse, una banca espira la mia sessione più velocemente dell'altra, è abbastanza fastidioso.

Mi chiedevo quanto sarebbe lunga (o breve) una sessione perché fosse considerata abbastanza sicura ma non fastidiosa?

    
posta IMB 16.09.2013 - 19:54
fonte

2 risposte

6

Risposta generica: idealmente , la sessione dovrebbe essere la più corta possibile, il limite è, in effetti, la seccatura dell'utente.

Fai sessioni perché l'utente non accetta di reinserire la sua password per ogni singola richiesta di pagina. Una sessione è un indebolimento deliberato e controllato del tuo modello di sicurezza; lo accetti perché altrimenti il sito sarebbe inutilizzabile. Tuttavia, il tuo interesse, sul server, è quello di mantenere le sessioni brevi.

Ora, naturalmente, questo è un compromesso. Il fastidio dell'utente non è binario. Una banca bilancerà il proprio sentimento di sicurezza nei confronti della percezione della seccatura dell'utente (e dell'importanza di ciò - la banca sa che può abusare completamente dell'utente, dal momento che i titolari di conti bancari sono in qualche modo "in cattività"). Apparentemente, le tue due banche hanno scelto compromessi distinti.

    
risposta data 16.09.2013 - 20:20
fonte
4

Quanto segue si applica ai siti sensibili (banche, servizi governativi, ecc.)

  1. Esci dalla tua stanza fino al corridoio.
  2. Prendi qualcuno e falli sedere davanti al computer.
  3. Chiedi loro di utilizzare il servizio per eseguire alcune operazioni.
  4. Trova quanto tempo è durato.
  5. Moltiplichi il tempo per 3. Questo è il minimo di quanto dura la sessione.
risposta data 16.09.2013 - 20:10
fonte

Leggi altre domande sui tag

Come puoi sapere cosa è distribuito con il tuo Linux Lo standard USB può essere modificato per prevenire "l'attacco del firmware"? [duplicare]