Se souvenir de moi ou pas?
On m'a dit de poster ceci sur les webmasters au lieu de stackoverflow.
Est-il prudent d’avoir la fonction Se souvenir de moi? Serait-il un peu prudent (sachant que ce ne sera pas le cas à 100%) de permettre aux utilisateurs de fermer leur navigateur et de revenir toujours connectés? Je ne suis pas certain de la voie à suivre après avoir lu différentes choses sur la sécurité. J'ai appris la fixation de session et mis en œuvre la sécurité pour ajouter plus de protection.
Par expérience, si l'option Mémoriser mes informations est cochée, seul votre nom d'utilisateur/e-mail apparaîtra et vous demandera de ressaisir votre mot de passe. D'autres sites vous permettent d'entrer et de sortir autant de fois que vous le souhaitez sans vous déconnecter après la fermeture du navigateur.
Si c'est sûr, quel est le meilleur moyen actuel d'implémenter Remember/restez connecté?
- https://stackoverflow.com/questions/3531377/best-practise-for-remember-me-feature
- https://stackoverflow.com/questions/5087969/what-is-the-code-for-stay-logged-in-or-remember-me-user-login-in-php
- http://bytes.com/topic/php/answers/881197-stay-logged-remember-me-php-sessions-cookies
- https://security.stackexchange.com/questions/41/good-session-practices
Aussi: Le site sur lequel je travaille est un type de login email et mot de passe.
C'est aussi sécuritaire qu'il y paraît. Si vous leur permettez de rester connecté même après avoir redémarré le navigateur, quelqu'un peut accéder à l'ordinateur après votre utilisateur et accéder à tout ce à quoi votre utilisateur peut accéder. Si vous craignez que quelqu'un utilise votre site de manière inappropriée, vous devez alors effectuer de nombreux ajustements, même auprès des utilisateurs enregistrés, afin de le rendre "sûr". Si vous craignez que les informations des utilisateurs ne soient compromises (par exemple, un petit frère qui se connecte à Facebook et écrit un tas de choses stupides), vous devez également en tenir compte. Compte tenu du fait que vous devez toujours protéger VOTRE site contre TOUT LE MONDE (même les utilisateurs enregistrés), je suppose que pour le reste de cette réponse, vous songez à "sans danger" pour l'utilisateur.
Vous devez élaborer un plan qui répond le mieux aux besoins de vos utilisateurs. Wikipedia vous permet de rester pendant 180 jours. Certains sites ne vous déconnectent jamais. Ma banque me déconnecte après 15 minutes et mon école me punit après 10 minutes, MÊME SI J'ÉCRIS UN COURRIEL !! (si irritant ...) Vous pouvez le concevoir de manière à ce que l'utilisateur puisse également choisir parmi quelques options: rester entièrement connecté en permanence; rester connecté pendant une semaine/jour/session; Gardez le nom d'utilisateur à portée de main, mais demandez un mot de passe.
Il y a beaucoup d'options, mais vous devez trouver votre équilibre entre "sûr" et odieux ...
Si vous autorisez la fonctionnalité "Mémoriser mes informations" pour permettre aux utilisateurs de se reconnecter automatiquement à leur retour, vous pouvez restreindre les droits d'accès d'un utilisateur "connecté automatiquement" jusqu'à ce qu'ils sélectionnent un "haut" option 'risk' (telle que changer le mot de passe/les informations de profil) et inviter un mot de passe pour en faire un utilisateur "entièrement connecté".