1

UnencryptedCookieSessionFactoryConfigcsrfトークンとによる認証に使用するピラミッドアプリケーションがあるとしSessionAuthenticationPolicyます。セッションCookieのデフォルトのタイムアウトは1200です。これは、ユーザーが20分後に切断されることを意味します。これは非常に煩わしいことです。

タイムアウトを上げたり、削除したり、ブラウザで存続できるようにmax_ageを設定したりしたくなりましたが、正当な理由でタイムアウトが発生していると思います。

長期間有効なセッションCookieを使用することでセキュリティ上のリスクはありますか?それは悪い習慣と見なされますか?

私の推測では、csrfトークンは短命である必要があります。その場合、AuthTktAuthenticationPolicy認証に使用する必要があります。同じ質問:max_ageを使用した認証Cookieは、将来的には悪い習慣ですか?

4

1 に答える 1

3

タイムアウトは、その時間内にサーバーに接続しないユーザーにのみ適用されることに注意してください。20分以内にサイトにアクセスすると、Cookieが更新されます。

はい、Cookieのタイムアウトを長くすることにはセキュリティ上のリスクがあります。クライアントコンピュータを危険にさらしたり、アプリケーションのXSSの欠陥を悪用しようとしたりするための長いウィンドウが作成されます。私はまだクッキーに制限を設定します。

とにかく、を使用しAuthTktAuthenticationPolicyてユーザー認証セッションを管理します。セッションの存続期間をよりきめ細かく制御できます(この古い回答を参照してください)。

ユーザーがアクティブなときにサーバーを定期的に突く(キーボードとマウスの入力、たとえば1分に1回の突く)JavaScriptの小さな部分を記述して、そのCookieを更新することもできます。ブラウザを閉じると、セッションは20分以内に自動的に終了します。

于 2013-01-28T15:29:27.580 に答える