Должен ли адрес электронной почты сохраняться после выхода из системы?

Question

Я написал дополнение для веб-приложения, которое вставляет флажок «Запомнить меня» в формы входа. Один из моих пользователей выразил удивление, что они не запоминаются после выхода из системы! Очевидно, что тот, кто вышел из системы, должен оставаться в ней, и, несмотря на конкретный запрос, я не буду заполнять поле пароля, так как это означает сохранение пароля в виде открытого текста.

Мой вопрос заключается в том, должен ли адрес электронной почты / имя пользователя предварительно заполняться для формы входа в систему, если пользователь предварительно пометил поле «Запомнить меня»?
Очевидно, что если это будет сделано на общедоступном компьютере, который будет эффективно передавать свои личные данные следующему незнакомцу, который использовал этот компьютер, но пользователь все равно не должен использовать опцию «Запомнить меня» на общедоступных компьютерах.

Каковы соображения безопасности при этом? Ожидают ли пользователи запоминания некоторых своих данных после выхода из системы?

Редактировать: Мне кажется, что у всех браузеров есть возможность запоминать значения форм и данные для входа в систему, возможно, делая это ненужным.

Answer 1

Вы должны абсолютно , а не предварительно заполнить адрес электронной почты / логин, если кто-то использовал функцию "запомнить меня".Помните, что эта функция, также часто называемая «держать меня в системе», предназначена для сохранения состояния входа в систему во время сеансов.Это удобная функция, позволяющая избежать повторной аутентификации пользователя при каждом посещении сайта.

Это , а не средство сохранения любой части учетных данных для входа в систему после явного выхода из системы.Да, браузер может запоминать значения полей формы, такие как имя для входа, но большинство указаний по безопасности явно рекомендует отключить это (см. Топ-10 OWASP для разработчиков .NET, часть 3: Сломанная аутентификация и управление сеансами ).

С точки зрения систем безопасности, я, конечно, не думаю, что есть какие-либо ожидания от пользователей, чтобы предварительно заполнить эти данные просто потому, что подавляющее большинство веб-сайтов не работают таким образом.Снижение барьера для входа хорошо, если это сделано с явного согласия, но не тогда, когда пользователь специально вышел из системы или завершил свой сеанс, а не тогда, когда поведение не соответствует ожидаемому.

Answer 2

«Запомнить меня» - это не то же самое, что «держать меня в системе».

Многие банковские сайты используют «запомнить меня» для сохранения имени пользователя (но не сеанса) даже после выхода пользователя из системы (например, ING Direct и Citizens Bank).Они обычно скрывают часть имени в целях безопасности.

Чтобы прояснить ситуацию для пользователей, вы, вероятно, захотите изменить формулировку на «оставаться в системе» или что-то подобное.

Answer 3

Предполагая, что их адрес электронной почты используется в качестве идентификатора пользователя, я ожидаю такого поведения и часто вижу его во многих приложениях, от которых я не ожидаю высокого уровня безопасности.

Более безопасная реализация - хранить зашифрованный идентификатор и запрашивать пароль только тогда, когда пользователь пытается войти в систему. Это поведение, которое я вижу и ожидаю от сайтов, которые содержат мои финансовые сайты. Чтобы браузер не запомнил, поле пароля важно для таких сайтов.

Рекомендуется размещать предупреждение об отказе от использования «Запомнить меня» на общедоступных компьютерах рядом с флажком.