5

我最近一直在思考这个问题,我想从这个很棒的社区得到一些反馈。假设用户希望在登录时被记住是否安全?如果他们使用的是公共计算机,是否可以假设他们足够聪明,可以在离开前注销?

4

10 回答 10

11

我真的不认为对最终用户做出任何假设是安全的。

另外,用户只需关闭浏览器而不是退出每个网站更容易,因此提供一个默认为 false 的记住我复选框对用户来说是友好的,并且总体上对他们来说更少麻烦。

于 2009-09-18T00:52:00.483 回答
7

不,在这个隐私太少的时代,任何潜在的漏洞都应该被关闭。网站应该变得安全,而不是更少。

于 2009-09-18T00:54:08.250 回答
5

不,最好什么都不做,尤其是像记住用户这样的事情。

如果他们在朋友家或公共电脑上忘记登出怎么办?

于 2009-09-18T00:54:08.187 回答
4

不。永远不要假设你的用户会做你想让他们做的事情,如果你没有明确地告诉他们(即强迫他们)这样做。

“记住我”复选框是一个很好的例子,说明用户是多么的无知——即使有复选框,用户在公共计算机上保持登录的事实也是一个问题。如果您开始假设,这将无济于事...

于 2009-09-18T00:53:20.620 回答
1

既然大多数浏览器无论如何都可以记住密码,那么设置记住我的 cookie 也没什么意义,因此您可以摆脱该选项。然后,如果用户清除了 cookie,然后想知道为什么您的网站不从 Adam 那里知道它们,用户就不会再抱怨了……

但是,不要假设用户会注销。他们不这样做,并且通过选项卡式浏览,您的会话 cookie 可能会保留很长时间 - 如果他们继续使用休眠/睡眠模式并且仅在浏览器崩溃时重新启动浏览器,可能会持续几天。因此,您需要设置一个合理的不活动超时,并要求他们在超时后重新登录。

于 2009-09-18T01:02:36.413 回答
1

不,不要忘记那句老话:

当您做出假设时,您会从“u”和“mption”中做出“屁股”。

于 2009-09-18T01:34:34.970 回答
1

我想我会为从欧洲发现此内容的任何人更新此讨论,欧盟 Cookie 法将于 2012 年 5 月 25 日生效。该法律将要求所有欧洲网站在访问者存储或检索任何信息之前获得访问者的知情同意计算机或任何其他网络连接设备。

由于“记住我”几乎肯定需要使用 cookie,因此您绝对不能假设用户希望被记住,事实上,从 5 月 25 日起,这样做将成为非法行为,除非您以其他方式获得用户使用 cookie 的同意。

网站如何遵守新法律有多种策略,目前一种流行的选择是在您的网站上突出显示网站范围的 cookie 选择加入,这会禁用所有 cookie 操作,直到用户激活它们。这是另一个线程的讨论,这里的信息是,如果您的网站在欧洲以外运营,您不能假设。

于 2012-01-18T15:37:05.830 回答
0

如果您的网站与安全无关(即:您不是银行、医疗或保险公司),那么我将取消该复选框。将“记住我”设为默认设置,并勾选“这是我们的公共计算机,不要存储我的密码”复选框。这将是我作为用户的愿望,因为我讨厌“记住我”复选框,也因为它们大部分时间都不起作用。

于 2009-09-18T00:54:48.590 回答
0

假设用户希望在登录时被记住是否安全?

我会说是的,在 80% 的情况下(我完全猜测),连接到您网站的人不是通过公共计算机,他们宁愿每次访问网站时都不必重新输入信息.

如果他们使用的是公共计算机,是否可以假设他们足够聪明,可以在离开前注销?

不,这是不安全的假设。聪明甚至不是一个恰当的术语——它更像是一个记住甚至意识到我会说的问题。

所以我说走安全路线。提供一个“记住我”复选框,并默认不选中它。人们已经习惯了这种情况。这没什么大不了的,与默认检查它相比,它给您带来麻烦的可能性要小得多,或者更糟糕的是不提供它并默默地执行它。

于 2009-09-18T01:14:47.177 回答
0

我认为它应该出现在非重要网站上,但默认情况下从未检查过,也不会自动假定为需要。如果人们不想记住他们的登录名或重新输入它们,让浏览器的密码管理器或任何处理它的东西,而不是网站。用户通常不会注销 - 对许多用户来说,只是关闭浏览器计数。

于 2009-09-18T01:46:52.047 回答