Правильная длина для таймаута входа?

Моя компания создала множество компьютерных программ, но одна проблема у нас есть с тайм-аутами входа.

Некоторые разработчики хотят сделать их короче для обеспечения безопасности, в то время как большинство пользователей хотят, чтобы оно было бесконечным? Есть ли оправдание отсутствия тайм-аута входа? Как короткий слишком короткий?

11 голосов | спросил Musaab 22 ndEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 22 Sep 2011 17:07:41 +0400 2011, 17:07:41

4 ответа


8

Длительность тайм-аута частично зависит от чувствительности данных и безопасности приложения.

Для чего-то вроде банковского сайта время ожидания должно быть довольно коротким, так что есть вероятность, что кто-то получит доступ к учетной записи, если пользователь не сможет выйти из системы.

Для чего-то вроде Facebook тайм-аут может быть длиннее - хотя даже там я думаю, что должен быть какой-то тайм-аут, поскольку есть еще конфиденциальная информация, к которой кто-то мог получить доступ.

Как короткий слишком короткий? - если пользователь не может выполнить наиболее распространенные действия в тайм-аут, он слишком короткий. Например, если вы просматриваете свою банковскую выписку, вам понадобятся данные, которые будут отображаться в течение нескольких минут, чтобы вы могли отмечать транзакции и т. Д. Короче, и вам нужно будет обновить страницу и потерять место.

Для вашего приложения вам понадобятся общие действия и время, оставшееся немного дольше.

ответил ChrisF 22 ndEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 22 Sep 2011 17:27:08 +0400 2011, 17:27:08
5

Обоснование времени ожидания входа зависит от уровня безопасности вашего приложения и того, как пользователи используют приложение. Если ваше приложение обрабатывает финансовые /конфиденциальные данные, таймаут входа должен быть коротким (логически), прибл. 3-5 минут.

Если ваше приложение является CMS, используйте более длительный тайм-аут. Я бы посоветовал ок. 45-60 минут. Это делается для того, чтобы администраторы контента не теряли контент или форматирование содержимого, если они находятся на экране редактора WYSIWYG в течение 30 минут, что я часто вижу.

В отношении обоснования отсутствия таймаута вообще; У меня есть один сайт, у которого нет тайм-аута входа. Это специально для продавцов, которые всегда забывают свои пароли. Это была необходимая функция для клиента, а не моя нормальная практика. У каждого свои конкретные потребности и бизнес-цели.

Моя самая сильная рекомендация здесь, знаю аудиторию. Убедитесь, что вы понимаете, что делают пользователи, и как долго они являются одной страницей на вашем сайте, прежде чем устанавливать тайм-аут входа.

ответил Keith Kmett - CUA 22 ndEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 22 Sep 2011 17:39:54 +0400 2011, 17:39:54
3

В веб-приложениях (если вы ссылаетесь на это) тайм-аут сбрасывается каждый раз, когда сервер слышит от вас. это может привести к выходу пользователя из системы, даже если он использует ваш сайт, читает, наблюдает данные, записывает контент и т. д., пока он не вызывает никаких новых запросов.

Рассмотрите возможность обнаружения активности пользователя с помощью событий мыши /клавиатуры /прокрутки и запуска каждого x mins ajax-запроса, чтобы поддерживать длительный тайм-аут. Это также позволит вам установить более короткий тайм-аут, так что, когда пользователь, наконец, покинет компьютер, он быстро выйдет из системы. (если безопасность является проблемой)

ответил Martin Hansen 28 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 28 Sep 2011 03:15:25 +0400 2011, 03:15:25
0

Учитывайте, что вы делаете, когда есть запрос на сервер после таймаута. Не просто отклоняйте запрос или перенаправляйте страницу. Возможно, всплывающее окно на странице позволяет вам снова войти в систему, но внимательно изучите историю пользователей, если их сеанс делает тайм-аут.

Если вы аккуратно обрабатываете процесс тайм-аута, вы можете сократить время ожидания, что является положительным для безопасности. Если вы ожидаете, что пользователи будут тратить много времени на чтение или заполнение страниц, продолжайте делать тайм-аут дольше.

Так что подумайте о своих пользователях и подумайте о своей истории тайм-аута.

ответил Schroedingers Cat 28 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 28 Sep 2011 20:05:32 +0400 2011, 20:05:32

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132