2

ログインフォームに「Remember Me」チェックボックスを挿入する Web アプリケーション用のアドオンを作成しました。私のユーザーの 1 人は、ログアウトした後に覚えていないことに驚きを表明しました。明らかに、ログアウトした人はログアウトしたままにしておく必要があります。特定の要求にもかかわらず、パスワードを平文で保存することを意味するため、パスワード フィールドには入力しません。

私の質問は、ユーザーが以前に「Remember Me」ボックスにマークを付けた場合、ログインフォーム用に電子メールアドレス/ユーザー名を事前に入力する必要がありますか?
公共のコンピューターで実行すると、そのコンピューターを使用する次の見知らぬ人に個人情報を効果的にブロードキャストすることになりますが、ユーザーは公共のコンピューターで「Remember Me」オプションを使用しないでください。

これを行う際のセキュリティ上の考慮事項は何ですか? ユーザーは、ログアウト後に自分の詳細の一部が記憶されていることを期待していますか?

編集:ブラウザにはすべて、フォームの値とログインの詳細を記憶する機能があり、おそらくこれが不要になっていると思います。

4

3 に答える 3

3

誰かが "remember me" 機能を使用している場合は、メール/ログインを事前入力しないでください。この機能 (「サインインしたままにする」とも呼ばれます) は、セッション間でログイン状態を保持するように設計されていることに注意してください。ユーザーがサイトにアクセスするたびに再認証する手間を省くためのユーザビリティ機能です。

明示的にサインアウトした後、ログイン資格情報の一部を保持する手段ではありません。はい、ブラウザーはログイン名などのフォーム フィールド値を記憶できますが、ほとんどのセキュリティ ガイダンスでは、これを無効にすることを明示的に推奨しています ( .NET 開発者向け OWASP トップ 10 パート 3: 壊れた認証とセッション管理 を参照)。

セキュリティ システムに関して言えば、大部分の Web サイトがこのような方法で動作していないという理由だけで、このデータを事前入力することをユーザーが期待しているとは思えません。参入障壁を下げることは、明示的な同意がある場合は問題ありませんが、ユーザーが明示的にサインアウトしたり、セッションを終了したりした場合や、動作が期待と一致しない場合はそうではありません。

于 2011-07-31T21:02:33.813 に答える
1

電子メール アドレスがユーザー ID として使用されていると仮定すると、これは私が予想する動作であり、多くのアプリケーションで頻繁に見られるものであり、高レベルのセキュリティは期待できません。

より安全な実装では、暗号化された識別子を保存し、ユーザーがログインしようとしたときにのみパスワードを要求します。これは、私の金融サイトを保持しているサイトで見られ、期待される動作です。このようなサイトでは、ブラウザーがパスワード フィールドを記憶しないようにすることが重要です。

チェック ボックスの横にある公共のコンピューターでは、"Remember me" を使用しないという警告を表示することをお勧めします。

于 2011-07-31T14:31:35.393 に答える
1

「ログイン状態を維持する」と「ログインを維持する」は同じではありません。

多くの銀行サイトでは、ユーザーがログアウトした後でもユーザー名 (セッションではなく) を保存するために "remember me" を使用しています (ING Direct と Citizens Bank がその例です)。通常、セキュリティ上の理由から名前の一部を隠します。

ユーザーにとってわかりやすいように、「サインインしたままにする」などの文言に変更することをお勧めします。

于 2011-07-31T21:30:10.607 に答える