Автоматический выход без JavaScript? И последствия такого решения? - PullRequest
Новая
       2

Автоматический выход без JavaScript? И последствия такого решения?

1 голос
/ 04 марта 2011

Так что мне нужно реализовать функцию автоматического выхода из системы для WordPress. С JavaScript это кажется простым;

  • Подсказка через X минут в режиме ожидания (jQuery.nap), альтернатива <title> для привлечения внимания
  • Если по истечении Y секунд подтверждения нет, запустите logout

Учитывая, что суть функции автоматического выхода из системы - это безопасность, будет ли считаться необходимым иметь запасной вариант без JavaScript?

И если так, то единственное решение, которое я вижу, - это хранить и сравнивать время доступа для последовательных запросов, но предостережения, которые я уже вижу:

  • Это больше не время простоя (время, когда пользователь фактически «отсутствует»), а просто время между загрузками каждой страницы.
  • Если пользователь ушел, то, что в данный момент находится на странице, уязвимо до бесконечности, пока следующий запрос не вызовет выход из системы.

В качестве аргументов я могу сказать, что серверное решение для выхода из системы после Z часов между запросами, в отличие от гораздо более короткого времени для JavaScript?

Что вы думаете по этому поводу, и мое предлагаемое решение?

1 Ответ

1 голос
/ 04 марта 2011

Использование Javascript для этого кажется мне в лучшем случае ненадежным.Если угроза состоит в том, что пользователь выходит из компьютера во время входа в систему, а затем злоумышленник подходит и делает плохие вещи со своей учетной записью, тогда злоумышленник вполне может просто отключить JavaScript при подходе к компьютеру.Если, конечно, таймер уже сработал к тому времени, как злоумышленник доберется туда.Но это означало бы, что таймер должен быть довольно коротким.

Я не знаю о вас, но я ненавижу сайты, которые автоматически выходят из системы через пару минут.ИМО, это огромные хлопоты, приносящие очень мало пользы для безопасности.Мне это не кажется реальной угрозой: кто-то, кто следует за одним из ваших пользователей, кто оказался в публичном пространстве, использует важную учетную запись, затем уходит, оставляя компьютер без присмотра?

Более реалистичной угрозой может быть то, что само соединение будет взломано кем-то, кто выходит из браузера без фактического выхода из системы или чего-то еще.Там было бы полезно иметь тайм-аут на стороне сервера около часа.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...