MagentoのWebサイトにアクセスするゲストのセッション期間を延長することに関心があります。デフォルトでは、ゲストがカートにアイテムを追加し、24分後にページを離れると、セッションは破棄され、ゲストが戻ったときにカートはゼロになります。テストするために、htaccess経由でmaxlifetimeを6時間に延長しましたが、正しく機能します。私のマネージャーは、セッションを1週間以上継続することに関心があることを知っています。私の質問は、セッションをこれほど長く存続させることの潜在的な欠点は何ですか?サーバーのパフォーマンス、セッションファイル用のサーバースペース、セキュリティ上の懸念など?
1 に答える
3
特定のウィンドウのセッションデータのみを保持する明示的なPCIコンプライアンスディレクティブがない限り、実際のセキュリティ上の懸念はありません。セッションデータには機密情報は含まれていません。
ウィンドウを拡張することで、私が考えることができる唯一の懸念はです。
- セッション/顧客が既存のセッションに対するXSS攻撃に対して脆弱になる可能性がより長く/より高くなります(とにかくそうでない場合はそうではないかもしれません)。
- セッションディレクトリが過度に大きくなるリスクがあります。これにより、セッションクリーンアップcronは、増加したファイル数を反復処理する必要があります。
- してはいけないことをセッションに保存している場合(つまり、デフォルトの4kbよりも大きくなる場合)。そうすると、ディスクスペースを急速に消費することになります。
- セッション(Memcache / Redis)にメモリストレージを使用している場合、最終的には使用可能なスペースが不足し、古いセッションが自動切り捨てられます。したがって、純粋にレガシー/アーカイブされたセッションストレージのためにかなり大量のRAMをコミットする必要があります。
- セッションにDBストレージを使用している場合は、悪い方法で終了します。MagentoのDBベースのセッションストレージは恐ろしく、ほんの少しの使用のヒントで倒れます-避けてください
- 潜在的なセキュリティ上の懸念は、顧客のマシンが共有コンピュータである場合である可能性があります。少なくとも24分(またはそれ以外)のセッションの変動性がある場合、別のユーザーがセッションを利用する前にセッションが期限切れになる可能性があります。
しかし、より良い解決策があります
現場でのセッション時間を延長するだけでなく、より洗練されたソリューションを調査することを考えたことがありますか。カートが放棄された場合は、メールで顧客に警告し、カートの内容を元に戻すためのリンクを提供できます。ウィッシュリスト/セッションなど
これにより、基本的なソリューションと、顧客を積極的に転換できるという利点が明らかに得られます。必要なのは、電子メールアドレスを取得することだけです。
于 2012-07-18T17:49:34.833 に答える