Quanti dati dovrei memorizzare sul computer di un utente in merito alle informazioni di accesso?

Question

Quanti dati dovrei memorizzare sul computer di un utente in merito alle informazioni di accesso?

#1 da (3 voti)
#2 da (-1 voti)

4

Attualmente sto salvando le informazioni di "accesso" dell'utente (non la loro password raw, ovviamente!). Ogni dispositivo / browser ottiene il proprio ID sicuro dal server, tutto bene.

Tuttavia, dovrei verificare anche maggiori informazioni sulle sessioni precedenti dell'utente? Ad esempio, tieni traccia della città o qualcosa di cui un utente accede (se non è un accesso al dispositivo mobile, salvalo anche sul server)

So che gli user-agent possono essere facilmente falsificati, ma sembra che se un utente malintenzionato capita di afferrare l'ID specifico del dispositivo dell'utente ci sarebbero alcuni problemi seri.

Qualsiasi intuizione sarebbe molto apprezzata!

authentication cookies session-management

posta Justin J. O'Boyle 21.10.2015 - 00:32

fonte

2 risposte

-1

La quantità di protezione e verifica che aggiungi dovrebbe essere accettabile per il valore dei dati che stai memorizzando. Se non ti fidi dei tuoi dati nel sistema, è probabile che tu abbia bisogno di maggiore sicurezza.

risposta data 21.10.2015 - 00:52

fonte

Leggi altre domande sui tag authentication cookies session-management

Posso fare una firma X / ADES avvolgente su contenuto binario? Guida alla comprensione di PCI-DSS quando si utilizza la crittografia basata su password da chiavi generate automaticamente

score 3 · Accepted Answer

È necessario memorizzare un singolo token di accesso sul computer dell'utente. Niente di più. Questo token dovrebbe essere creato dopo aver verificato le credenziali dell'utente attraverso un processo di accesso sicuro. Il token dovrebbe scadere ad un certo punto. Sul back-end, quel token dovrebbe essere associato a tutte le informazioni dell'utente. È generalmente accettabile utilizzare l'indirizzo email dell'utente come login. Devi verificare l'email dell'utente prima di concedergli l'accesso al tuo sistema.

Inoltre, puoi tenere traccia dell'indirizzo IP o delle città da cui l'utente effettua l'accesso. Questo è il tuo perogativo. Tieni presente che alcuni utenti considerano il rilevamento del loro IP come violazione della loro privacy. Tuttavia, molti siti ora tracciano l'IP, quindi non è più un grosso problema.

Alcuni sistemi, come Google, tengono traccia degli indirizzi IP e degli user-agent. Ma suggerirei di iniziare tenendo traccia del minimo indispensabile e crescere man mano che crescono le tue esigenze.