0. При каких условиях будет выставляться Small expiration date-time в куку?
1. Откуда взялась цифра 15 и 5 ? Почему не 20 и 10?
2. Если я пойду в соседний отдел за документами(налить чай/покурить/в туалет) и оставлю Overboss открытым, то вернувшись меня заставят логиниться. Невесело. Есть реальная потребность выкидывать пользователя через такой период времени?
3. А как же любимое пользователями "запомнить меня навсегда"?
4. А зачем привязка куки к адресу? В организациях все часто сидят под одним белым IP, мне осталось непонятным когда эта привязка может быть полезной.
5. Как это вы решились выставлять время протухания, а не выдачи? :) Что-то помню я разговоры, что это дурацкое решение, засовывать expirational time в куку.
0. Если сильно озабоченный безопасностью клиент включит такую настройку для своей организации.
1. Это просто примеры, время может быть любое другое :)
2. Да, некоторые наши потенциальные пользователи высказывали желание иметь такую возможность.
3. Некоторые компании хотят, чтобы такой возможности у их сотрудников не было. Правда, мы уверены, что им быстро надоест это неудобство, и они откажутся от этой функциональности.
4. Что-то я в итоге понял, что привязка куки к адресу, наверное, и не нужна. В этом заинтересован не сотрудник, а компания. Сотрудник может иметь доступ в нескольких компаниях, и в каждой у него могут быть свои разрешенные IP-адреса для входа.
5. Ну... оказалось, у нас тоже так :) Минус прописанного времени протухания - можно выдать вечную куку. А это потенциальная дыра. Если же указывается время выдачи, то время протухания где-то в одном месте задается и читерить с ним уже нельзя.
Comments 2
1. Откуда взялась цифра 15 и 5 ? Почему не 20 и 10?
2. Если я пойду в соседний отдел за документами(налить чай/покурить/в туалет) и оставлю Overboss открытым, то вернувшись меня заставят логиниться. Невесело. Есть реальная потребность выкидывать пользователя через такой период времени?
3. А как же любимое пользователями "запомнить меня навсегда"?
4. А зачем привязка куки к адресу? В организациях все часто сидят под одним белым IP, мне осталось непонятным когда эта привязка может быть полезной.
5. Как это вы решились выставлять время протухания, а не выдачи? :) Что-то помню я разговоры, что это дурацкое решение, засовывать expirational time в куку.
Reply
1. Это просто примеры, время может быть любое другое :)
2. Да, некоторые наши потенциальные пользователи высказывали желание иметь такую возможность.
3. Некоторые компании хотят, чтобы такой возможности у их сотрудников не было. Правда, мы уверены, что им быстро надоест это неудобство, и они откажутся от этой функциональности.
4. Что-то я в итоге понял, что привязка куки к адресу, наверное, и не нужна. В этом заинтересован не сотрудник, а компания. Сотрудник может иметь доступ в нескольких компаниях, и в каждой у него могут быть свои разрешенные IP-адреса для входа.
5. Ну... оказалось, у нас тоже так :) Минус прописанного времени протухания - можно выдать вечную куку. А это потенциальная дыра. Если же указывается время выдачи, то время протухания где-то в одном месте задается и читерить с ним уже нельзя.
Reply
Leave a comment