1. Inicio
  2. Pregunta y respuesta
  3. ¿Es seguro mantener viva la sesión con la solicitud ajax?

¿Es seguro mantener viva la sesión con la solicitud ajax?

2012-03-01 32 views
6

Recientemente implementé un pequeño fragmento de javascript en mi página maestra que hace una solicitud de ajax cada 30 segundos para mantener la sesión activa. Sé que hay varias preguntas con respecto a Keep alive, pero realmente no he podido encontrar respuestas a estas preguntas específicas.¿Es seguro mantener viva la sesión con la solicitud ajax?

Mis preguntas son:

  1. ¿Es seguro hacer esto? Como en, ¿tendrá esto algún efecto adverso si hay muchos usuarios/conexiones concurrentes?

  2. ¿Puedo implementar un tiempo de espera extendido el uso de este método o voy a tener que utilizar cookies?

  3. que no saben mucho acerca de las cookies, pero éstos son relativamente aceptable usar ahora? o habrá usuarios que no los permitan, ¿podrán usar mi sitio?

Gracias a todos!

Fuente

2012-03-01 Goose

Respuesta

7
  1. Sí que es seguro. En cuanto a la carga, eso depende de su hardware y de cómo lo escriba, pero no tiene un efecto peor que el de los usuarios que actualizan la página (posiblemente menos considerando la sobrecarga de una llamada AJAX sobre una carga de página estándar).
  2. Puede ajustar el tiempo de espera en el web.config si eso es lo que está preguntando ...
  3. Esa es una llamada personal sobre usted. Las cookies tienen su propósito, y las considero aceptables siempre que sea su dominio, pero me doy cuenta de que algunas personas las desactivan, por lo que todo se reduce a una recaída.

Algunas cosas a tener en cuenta, sin embargo:

  1. Los bancos utilizan la misma metodología para mantener su sesión de ir mientras se esté examinando sus finanzas, pero por lo general ofrecen una ventana emergente justo antes de preguntar si' me gusta continuar
  2. Mantener un usuario registra en la fuerza durante más de una duración normal puede ser un riesgo para la seguridad (imagen alguien que entra en una computadora en la biblioteca o la escuela y salir de su escritorio - esa sesión debe continuar en el día siguiente [o más largo ]?)

Fuente

2012-03-02 00:03:13

+0

Gracias por la información. El usuario no comparte datos confidenciales, por lo que creo que continuaré con la sesión de actualización. Estoy pensando que estableceré el tiempo de espera en aproximadamente un minuto más que mi frecuencia refrescante (de modo que si el navegador está cerrado la sesión terminará lo más rápido posible), pero eso plantea otra pregunta ... ¿con qué frecuencia crees que puedo? actualizar la sesión sin que sea demasiado frecuente? – Goose

+1

@Shannon: la mayoría de las sesiones que no están relacionadas con la seguridad personal (que he visto) rondan los 20-30 minutos. Los sitios web bancarios son probablemente de 3 a 5 minutos. Me quedaría tan cerca de la fecha de caducidad como sea posible, ya que es una carga innecesaria para sondear con mayor frecuencia. –

0

acerca de las cookies, resulta muy aceptable para su uso. casi todos los sitios que guardan las cookies en los usuarios, tienen que hacerlo. hay usuarios que no los permiten pero el programador puede superarlo, cambiando la seguridad del navegador (en este caso, hay un problema constitucional). puede ver si el sitio está guardando cookies en su navegador.

Fuente

2012-03-02 00:02:16 lolo

Cuestiones relacionadas

 Cuestiones relacionadas