Determinar un límite de tiempo de espera de sesión razonable [cerrado]

Question

Determinar un límite de tiempo de espera de sesión razonable [cerrado]

Navega tus respuestas

#1 de woliveirajr (3 votos)
#2 de Michael Hidalgo (1 votos)
#3 de Andrew Russell (1 votos)

2

¿Qué es un límite de tiempo de espera de sesión razonable y cómo puede determinarlo?

web-application session-management

pregunta Imran Azad 14.01.2012 - 02:14

fuente

3 respuestas

Lea otras preguntas en las etiquetas web-application session-management

Requisito de anonimización / cifrado de datos Vulnerabilidades y amenazas a aplicaciones de Windows no basadas en la Web

score 3 · Answer 1

Creo que está muy relacionado con la tarea que se realiza en la sesión.

Cómo determinarlo: verifique a qué se utilizará la sesión / programa / software. Mida cuánto tiempo le lleva a un usuario regular realizar dicha actividad. Cuantas más medidas tengas, mejor. Calcula el tiempo promedio y la desviación estándar. Haga que el límite de tiempo de espera sea promedio + 2 std dev, y creo que casi todos los usuarios podrán usar la sesión antes de que se agote el tiempo de espera.

score 1 · Answer 2

Si está trabajando en un escenario web, es probable que el usuario final desee ver un mensaje resaltado (mediante CSS y / o JavaScript, JQuery) que indique que la sesión está a punto de caducar. Algunos marcos proporcionan un tiempo de espera de sesión predeterminado. ¿Se puede aumentar? Sí tu puedes. Por lo tanto, puede conocer el tiempo inactivo y redirigir al usuario para que vuelva a iniciar sesión una vez que la sesión haya finalizado.

score 1 · Answer 3

Requisitos empresariales / del sistema

El requisito comercial implicará las decisiones sobre los tiempos de espera. Puede ser una decisión de juicio teniendo en cuenta la importancia de las transacciones realizadas en el sitio (para el propietario de la aplicación y para el usuario), la vulnerabilidad de la aplicación web y las diversas transacciones que se pueden realizar en ella, los puntos finales que Accederemos y probablemente la relación entre los propietarios y usuarios del servicio. Las cuestiones legales a menudo deben ser consideradas. A menudo, las decisiones serán informadas por lo que sucedió en el pasado para la aplicación y aplicaciones similares en la mente de las partes involucradas.

En resumen, es una decisión compleja.

Recuerde que algunas aplicaciones pueden tener un 'tiempo de espera' a más largo plazo con el uso de cookies para permanecer conectado.

Las aplicaciones web AJAX / Javascript tienen implicaciones técnicas.

Las acciones ajax (para la misma aplicación) pueden restablecer el tiempo de espera y pueden ser las primeras en ver la acción de tiempo de espera, por lo que es necesario manejar este caso de tiempo de espera.
Las acciones de Ajax a otras aplicaciones / servidores no pueden restablecer el tiempo de espera.
El Javascript que no accede al servidor no restablecerá el tiempo de espera.
También puede haber tiempos de espera / acciones de javascript.