web-dev-qa-db-ja.com

私を覚えているかどうか?

私はこれをstackoverflowの代わりにウェブマスターに投稿するように言われました。

Remember Me機能を使用しても安全ですか?ユーザーがブラウザを閉じてログインし直せるようにすることは、ある程度安全ですか(100%安全ではないことを知っていますか)?私は、安全性についてさまざまなことを読んだ後、どの方向に進むべきかを厳密に判断していません。セッションの固定について学び、保護を強化するためにセキュリティを実装しました。

経験から、「私を記憶する」がチェックされている場合、ユーザー名/メールのみが表示され、パスワードを再入力する必要があります。他のサイトでは、ブラウザを閉じた後にログアウトすることなく、自由に出入りできます。

安全である場合、記憶/ログインを維持するための現在の最善の方法は何ですか?

また、私が取り組んでいるサイトは、電子メールとパスワードによるログインタイプです。

3
taeja87

見た目と同じくらい安全です。ブラウザの再起動後もログインしたままにしておくと、ユーザーの後に誰かがコンピューターにアクセスし、ユーザーがアクセスできるすべてのものにアクセスできます。誰かがあなたのサイトを不適切に使用しているのではないかと心配している場合は、登録ユーザーであっても「安全」にするために多くの調整を行う必要があります。ユーザー情報が侵害されることを心配している場合(弟がFacebookにアクセスして愚かなものを書いているように)、それも考慮する必要があります。あなたのサイトを常にすべての人(登録ユーザーであっても)から保護する必要があるという事実を考慮すると、この回答の残りの部分では、ユーザーの「安全」を考えていると思います。

ユーザーのニーズに最適な計画を立てる必要があります。ウィキペディアでは、180日間滞在できます。ログアウトしないサイトもあります。銀行は15分後にログアウトし、10分後に学校は私をパントします。 (とてもいらいらします...)ユーザーがいくつかのオプションから選択できるように設計することもできます。完全にログインしたままにしてください。週/日/セッションの間、ログインしたままにします。ユーザー名は手元に置いておきますが、パスワードが必要です。

多くのオプションがありますが、「安全」と不快な間のバランスを見つける必要があります...

2
BillyNair

「リメンバーミー」機能を使用して、ユーザーが戻ったときに自動的に再度ログインできるようにする場合、「制限「自動ログイン」ユーザーのアクセス権を「高」を選択するまでリスク」オプション(パスワード/プロファイル情報の変更など)を選択すると、パスワードの入力を求められ、もう一度「完全にログインした」ユーザーになります。

1
MrWhite