web-dev-qa-db-ja.com

拡張ユーザーセッションの長所と短所は何ですか?

規制により、内部に表示されるコンテンツにユーザー認証(ユーザー名/パスワード)を介してアクセスする必要があるポータルがある場合。ログイン後にユーザーセッションを延長することのベストプラクティス/長所と短所はありますか?ユーザーが戻ったときに再度ログインする必要がないように、セッションが長いことを証明できる調査またはデータはありますか?

loginregistrationauthenticationremember-me
2
Daniel Viquez

それは主にシステムの性質に依存すると思います。

自動ログアウトのメリット

逆説的には、自動的にログアウトされることで、システムを使用するユーザーの一般的な満足度が向上する場合があります。 2つの例を挙げましょう。

私が若かったとき(悲しいことに、20年前だと気付いたばかりです)、学校にはインターネットカフェがあり、Pentium II搭載マシンが並んでいました。すべての学生はIDとパスワードを持っています。彼らのほとんどは、コンピューターでプライベートビズを行いました。コンピューターは、ほとんどの場合、電子メールで送信され、ソーシャルネットワークのアンティディルヴィアの会話型プロトプラストIRCを使用していました。時間には制限があり、Windows NTのログインウィンドウが切れると表示されます。アカウントは集中管理されていたため、セッションは管理者の要求に応じて終了することもできました。時間ベースのログアウトにより、生徒のデータを手に入れることを回避できます。同様のパターン(ユーザーはロックされていますが、自動的にログアウトされません)は、現代のラップトップでも使用されています。

次に、私の銀行は、非アクティブ状態から数分以内にアカウントをロックし、それに対する私の信頼を築きます。

画面が消えてから数秒後に、電話が画面をロックします。

ユーザーがこの動作から得る最も顕著な価値である2つがあります:プライバシーと機密データ保護

セッションを延長することでさらに価値を高める方法

画面をオフにした数秒後に、使用している電話がロックされます。この場合、セッションはそのアクティビティを超えて拡張されます。ユーザーは、画面がオフになることに気づき、それが再びオンになるトリガーとして機能します。ここでのプロは、彼らが再び電話のロックを解除することを心配する必要がなく、それのセキュリティコストが最小であることです。 (一方、私が持っているタブレットは記事を読むときにロックアウトされます。また、指紋スキャナーを使用してロックを解除する必要があります。これは、電話で記事を読んでいることに気がついたのでとてもイライラしています)。

私の銀行は、たとえば5分間何も操作しないと自動的にログアウトします。もちろん、このタイマーは、システムの画面を更新するたびにリセットされます。しかし、そうしないと、ログアウトの2〜3分前に、というセッションが延長されます[ここをクリック]。これは、画面を離れたくないセッションよりも時間がかかる古い操作リストを調べる場合に特に便利です。セキュリティは危険にさらされないことに注意してください。

私のブラウザーでのGoogleセッションは、Facebookと同じように、まったく期限切れになりません。ただし、ラップトップ、電話、タブレットセッションなどの外部セキュリティシステムによって保護されています。したがって、これらのケースでは、外部システムのセキュリティへの依存度が高い場合でも、セキュリティはどちらも侵害されません

私が使用しているオークションシステムではログアウトされますが、ユーザー名や基本的なアクションの紹介など、アカウントの一部の要素は保持されます。しかし、もっと深刻なものにアクセスする必要があるときはいつでも、「より深くログイン」する必要があります(この手法にその名前があるかどうかは誰かが知っていますか?)。

結論

セッションを拡張することで何らかの価値が加わるモデルを見つけるための概念的なスペースはたくさんあると思います。ただし(もちろん、アクセスを保護するデータの種類によって異なります)、プライバシーとセキュリティに影響がないかどうかを確認する必要があります。

そのため、ユーザーにもたらすこの満足度が、それが引き起こす不安からの懸念のレベルを超えている場合は、ユーザーセッションを延長する価値があります。確かに、これは経験則ですが、他の何よりも前に検討する必要があります。

もう1つは、トリガーできるマイナスのビジネス効果です。ビジネスの観点からは、それに対する制御をユーザーの手に委ねることにより、「{your system name}が私のプライベートデータを失ったことを示す見出しを避けます。データを安全に保ちたい場合に使用してください。」繰り返しますが、これは考慮すべきことだけですが、決定を行う前にこの考慮事項も重要です。

2
Dominik Oslizlo

長いセッション有効期限の長所

  • 簡単です。ユーザーは再認証を忘れることができるので、素晴らしい体験をします。

長いセッション有効期限の短所

  • 安全性が低いです。ユーザーのアカウントが侵害されているため、ユーザーエクスペリエンスが低下しています。

OWASPは、おそらく認証およびセッション管理の質問に最適なリソースです。安全なアプリケーション(ほとんどすべてのもの)のUXへの影響は確かに注意が必要です。それは常に妥協の問題です。

OWASPから

セッション間隔が短いほど、攻撃者が有効なセッションIDを使用する時間が短くなります。セッションの有効期限のタイムアウト値は、Webアプリケーションの目的と性質に応じて設定し、セキュリティと使いやすさのバランスをとる必要があります。これにより、ユーザーは頻繁にセッションを期限切れにすることなく、Webアプリケーション内の操作を快適に完了できます。アイドルタイムアウト値と絶対タイムアウト値の両方は、Webアプリケーションとそのデータの重要度に大きく依存します。一般的なアイドルタイムアウトの範囲は、高価値のアプリケーションでは2〜5分、低リスクのアプリケーションでは15〜30分です。

1
plainclothes