2

(この優れたRailscastに従って)remember me 機能を追加することを考えていますが、セキュリティが少し心配です。

誰かが別のユーザーから Cookie を取得した場合、基本的にログインしているため、すべてのアカウントにアクセスできるようになるのでしょうか? (そして、ユーザーの Cookie が盗まれる可能性はどのくらいですか?)

ユーザーに通常のセッション (ブラウザーを閉じると終了) を設定したほうがよいでしょうか。Cookie はその user.id のみを記憶しますが、ユーザーが戻ったときに再度ログインせ、ユーザー名 (または電子メール) を自動入力するだけです。ログインフォームの一部であるため、パスワードを入力するだけで続行できます。

これは私にはより安全に思えますが、少し偏執的になりすぎているのでしょうか?

4

1 に答える 1

1

絶対に安全なシステムは使用できなくなります。非常に使いやすいシステムは、通常、あまり安全ではありません。

「Remember me」は、セキュリティを低下させる古典的なユーザビリティ機能です。

その場合、金融取引を行う場合は、この機能を実装したくありません (セキュリティがより重要になるため)。

その場合は、子猫の写真を載せるサイトをやればOKだと思います。

また、いつでも期間限定の Cookie を作成できるため、「remember me」機能は 1 日以内にあなたを記憶します。これにより使いやすさが向上しますが、システムの安全性は適度に保たれます。

于 2013-01-06T19:52:17.693 に答える