Quale tipo di informazioni dovrebbero essere mostrate a un utente finale per un riepilogo della sessione di accesso?

Naviga le tue risposte
4

Google , Yahoo, Facebook e diverse banche hanno una schermata di riepilogo della sessione che elenca una varietà di informazioni, ma non sono coerenti in ciò che viene offerto all'utente finale. per es.

  • Facebook offre una lista concisa di "sessione attiva" e informazioni sufficienti per determinare se quella sessione debba essere chiusa.

  • Chase bank, ad esempio, elenca quante transazioni sono state emesse nella sessione corrente, mentre c'è un insieme più ampio (e travolgente) di opzioni in Google.

Escludendo la linea di dettagli aziendali (come nell'app Banking), quali informazioni e controlli sulla sessione (ad es. terminare la sessione) dovrebbero essere inclusi in un riepilogo di sessione?

Modifica: Il pensiero è che fornire troppe informazioni in un sommario di sessione possa essere utilizzato da una persona malintenzionata o da uno script che accede a quella pagina. per esempio. un account può essere dirottato, la password cambiata e tutte le sessioni legittime sono state chiuse.

Altri social engineering o divulgazione delle PII possono anche essere possibili a seconda del tipo di attacco.

    
posta random65537 12.11.2013 - 22:14
fonte

2 risposte

1

Se il collegamento non è sicuro, non dovrebbe essere mostrato nulla.

Il resto del post assume un collegamento sicuro. Quanto segue è rilevante:

  • se esistono altri accessi simultanei o tentativi di accesso non riusciti, molto importante, mostra quanti più dettagli possibili in modo che la persona possa identificarsi;
  • ultima transazione on-line monetaria;
  • ultima transazione off-line monetaria;
  • dettagli del login corrente e del timeout;
  • numeri di frodi e link;
  • verifica che il sito sia autentico o un metodo da confermare.

Informazioni di base su argomenti relativi alla sicurezza in un collegamento.

Penso che PayPal sia un buon inizio.

    
risposta data 06.12.2013 - 18:30
fonte
0

Penserei che il minimo indispensabile siano le sessioni che sono attualmente loggate con il nome utente corrente. Trovo che qualsiasi altra cosa sarebbe una distrazione, mi piace l'approccio che Facebook prende e ti consente sia di vedere la tua sessione corrente che di finire quella sessione.

Se è necessario visualizzare più informazioni, visualizzare l'elenco delle sessioni con i collegamenti per fornire maggiori dettagli, altrimenti non preoccuparsi.

    
risposta data 15.11.2013 - 16:41
fonte

Leggi altre domande sui tag

Intestazioni di sicurezza HTTP su non HTML (immagini, JavaScript, ecc.) Condizioni strane in cieco punto di iniezione SQL, substr () è valido per esattamente due caratteri