¿Qué tipo de información debe mostrarse a un usuario final para obtener un resumen de la sesión de inicio de sesión?

Navega tus respuestas
4

Google , Yahoo, Facebook y varios bancos tienen una pantalla de resumen de sesión que enumera una variedad de información, pero no son coherentes con lo que se ofrece al usuario final. por ejemplo

  • Facebook ofrece una lista concisa de "sesión activa", y suficiente información para determinar si esa sesión debe terminarse.

  • Chase bank, por ejemplo, enumera cuántas transacciones se han emitido en la sesión actual, mientras que hay un conjunto de opciones más grande (y abrumador) en Google.

Excluyendo los detalles de la línea de negocios (como en la aplicación de Banca), ¿qué información y controles de sesión (por ejemplo, terminar sesión) deben incluirse en un resumen de sesión?

Editar: La idea es que el hecho de proporcionar demasiada información en un resumen de sesión puede ser utilizado por una persona malintencionada o un script que acceda a esa página. p.ej. una cuenta podría ser secuestrada, cambiar la contraseña y terminar todas las sesiones legítimas.

Otra ingeniería social, o divulgación de PII también puede ser posible dependiendo del tipo de ataque.

    
pregunta random65537 12.11.2013 - 22:14
fuente

2 respuestas

1

Si el enlace no es seguro, no se debe mostrar nada.

El resto de la publicación asume un enlace seguro. Lo siguiente es relevante:

  • si existen otros inicios de sesión concurrentes, o intentos de inicio de sesión fallidos, muy importantes, muestre tantos detalles como sea posible para que la persona pueda identificarse;
  • última transacción monetaria en línea;
  • última transacción monetaria fuera de línea;
  • detalles de inicio de sesión actual y tiempo de espera;
  • números y enlaces de fraude;
  • verificación de que el sitio es auténtico o un método para confirmar.

Información básica sobre asuntos relacionados con la seguridad en un enlace.

Creo que PayPal es un buen comienzo.

    
respondido por el skvery 06.12.2013 - 18:30
fuente
0

Creo que lo mínimo sería cualquier sesión que haya iniciado sesión con el nombre de usuario actual. Encuentro que cualquier otra cosa sería una distracción, me gusta el enfoque que toma Facebook y le permite ver su sesión actual y la capacidad de finalizar esa sesión.

Si hay un requisito para mostrar más información, entonces muestre la lista de sesiones con enlaces para proporcionar más detalles, de lo contrario, no se preocupe.

    
respondido por el PseudoNym01 15.11.2013 - 16:41
fuente

Lea otras preguntas en las etiquetas

Condición extraña en el punto de inyección de SQL oculto, substr () es válido para exactamente dos caracteres Número de ID de sesión repetido en mac