2

我正在考虑添加记住我的功能(在这个优秀的Railscast之后),但是我有点担心安全性。

如果有人从另一个用户那里获得了一个 cookie,会发生什么,这会归结为他们可以访问他们的所有帐户,因为他们基本上已经登录了吗?(用户 cookie 被盗的可能性有多大?)

为用户建立一个正常会话会更好(当他们关闭浏览器时结束)并且cookie只记住那个user.id但在他们返回时不会重新登录,只是自动填写用户名(或电子邮件)登录表单的一部分,因此他们只需输入密码即可继续。

这对我来说似乎更安全,但也许我有点太偏执了?

4

1 回答 1

1

绝对安全的系统将无法使用。可用性非常好的系统通常不是很安全。

“记住我”是经典的可用性功能,它降低了安全性。

在这种情况下,如果您进行金融交易,我宁愿不实现此功能(因为安全性更重要)。

在这种情况下,如果你做一个可以发布小猫照片的网站,我认为没问题。

此外,您可以随时制作限时 cookie,因此您的“记住我”功能最多只能记住一天。这将提高可用性,但会保持系统相当安全。

于 2013-01-06T19:52:17.693 回答