Automaticke odhlasenie uzivatela

14. 8. 2020 14:39:22

Caute,

riesim jednu dilemu, ako co najlepsie zabezpecit odhlasenie uzivatela, tak ma napadlo, ze sa opytam kolegov, mozno sa inspirujem..

Ako riesite automaticke odhlasenie autentifikovanych uzivatelov?

1. vyprsanim casu necinnosti - napr. cookie zo sedenim je nastavena na nejaky cas, a kazdou aktivitou uzivatela sa cas predlzuje o tento cas

- tu vidim ale zranitelnost - mam odsledovane, ze velka cast uzivatelov sa neodhlasi sama, len napr. zavru okno / kartu prehliadaca - ak sa teda prihlasi na napr. cudzom zariadeni, existuje moznost prevzatia sedenia vlastnikom zariadenia / resp. inym neopravnenym clovekom

2. odhlasenie zavretim prehliadaca - toto ale nemusi fungovat vsade, tusim chrome na cookie s casom expiracie 0 prdel a cookie moze existovat do "nekonecne".. momentalne to robi aj tak opera (aspon u mna) - teda riziko nekonecneho prihlasenia..

- je tu moznost kombinovat s casom neaktivity ale zase je tu neprijemny uzivatelsky zazitok - omylom zatvorena karta = odhlasenia a nutnost prihlasit sa znova..

Riesite toto nejak sofistikovanejsie?

14. 8. 2020 14:39:22

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460214

Erik Šťastný

(6 hodnocení)

14. 8. 2020 15:32:34

Jsem web amatér, takže nebrat vážně pokud je to blbost, ale já osobně jsem si udělal následující.

Dobu nečinnosti držím na serveru a refreshuji ji s dotazem na serveru. Pokud uživatel dlouho nic nechce, vymaže se session a další request neprojde.

Osobně naprosto nesnáším ty moderní "bezpečnostní" věci hlavně u bank, které hlídají neaktivitu v prohlížeči a po minutě vás kicknou. :D

14. 8. 2020 15:32:34

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460213

(22 hodnocení)

14. 8. 2020 15:36:57

ano, toto je viac menej standard.. ak sa ale neodhlasis, len zavres prehliadac a pojdes si zapalit, tvoj kolega, ktory videl na akej stranke si surfoval, moze skusit na tvojom pocitaci zadat adresu a hopla - ma tvoj ucet, pretoze doba neaktivity k automatickemu odhlaseniu este nepresla

14. 8. 2020 15:36:57

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460212

Erik Šťastný

(6 hodnocení)

14. 8. 2020 15:42:46

To už je čistě na tobě jak moc paranoidní chceš být :)

Více méně je to jednoduchá nepřímá uměra pohodlí uživatele vs bezpečnost.

Osobně nesnáším když mě web odhlašuje po minutě neaktivity, rovněž nesnáším když mě web odhlásí jen kvůli zavření prohlížeče / záložky. Jediné co mi vyhovuje je opravdu delší neaktivita např 30 minut a tu řeším na té straně serveru.

Nicméně je to asi primárně o gramotnosti uživatelů no, já třeba nikdy nenechám přihlášený účet ve veřejném prostoru, kde je nějaké riziko, nicméně věřím, že spousta lidí to klidně nechá no.

14. 8. 2020 15:42:46

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460211

(22 hodnocení)

14. 8. 2020 15:45:23

ved prave.. riesim ale jednu appku ktora, okrem ineho, pracuje aj s bankovymi uctami a pouziva ju viac ludi, takze mensia paranoja neuskodi :)

14. 8. 2020 15:45:23

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460210

TomasX

(4 hodnocení)

14. 8. 2020 15:46:51

Neřiď to podle cookies, ty se dají vzít, synchronizovat, smazat. Měj dlouhotrvající persistentní cookies (klidně 2 roky, po přihlášení je přegeneruj). Výchozí chování prohlížečů je, že po zavření maže cookies s nulovou expirací nebo ty pro session.

Řeš expiraci na backendu, ukládej si do databáze poslední aktivitu. Při dlouhé době od poslední aktivity si můžeš vyžádat heslo nebo vyžaduj heslo až uživatel bude dělat nějakou akci.

Líbí se mi jak to má třeba Amazon, pokud podle cookies tuší, kdo jsi, vypadá vše jako když jsi přihlášený, ale jakmile chceš jít do profilu nebo udělat objednávku, vyžádá si heslo znovu.

Dělám projekty primárně pro korporáty, tam hodně frčí kerberos, SSO, AD federace (ADFS). Přihlášením se generuje token pro dané zařízení a to si ho musí pravidelně obnovovat, pokud to neudělá, tokem mu expiruje a musí se provést celé kolečko přihlášení znovu (login, sms, čipová karta). Pokud v aplikaci jdu třeba do chráněného nastavení, aplikace si může navíc vyžádat heslo. Takhle fungují třeba služby Office365, Teams, Azure.

14. 8. 2020 15:46:51

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460209

TomasX

(4 hodnocení)

14. 8. 2020 15:50:55

Pokud řešíš něco hodně citlivého. Dělej to přes poslední aktivitu, kterou si ukládej do db, poslouží to zároveň i jako audit log při řešení potíží. Platnost můžeš nastavit i na 15 min od poslední aktivity.

U mobilních aplikací zároveň vyžadujeme autorizaci i po zavření aplikace (či přepnutí na jinou a delší nečinnosti než třeba 5 min). Zároveň i při neaktivitě nahoď univerzální screen, aby z náhledu aplikací nešlo nic přečíst. Dej pozor na persietování věcí do lokální databáze, drž vše jen v paměti. Dělám audit těhle věci pro banky, tipů bych měl spoustu :), ale asi tady na to není prostor.

14. 8. 2020 15:50:55

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460208

(22 hodnocení)

14. 8. 2020 16:15:37

Ano, aktualne je tam persistentna cookie, ktora oznacuje identitu uzivatela... aktivita sa loguje v db a podla posledneho casu aktivity, aplikacia vie, ci je dotycny prihlaseny, alebo nie..

Aplikacia vie kto si, aj ked nie si prihlaseny, ale na urcite operacie si vyziada heslo (cize nieco podobne ako ten amazon, alebo aliexpress)..

Uvazoval som, zeby som pri prihlaseni vytvoril dalsiu cookie s nulovou expiraciou. Pokial tato cookie existuje, znamena to, ze doba neaktivity je standardna.. Pokial vsak serveru tato cookie nepride, znamena to, ze uzivatel zrejme zavrel prehliadac a vtedy by sa doba neaktivity skratila napr. na par minut.. Vyriesilo by sa tym zavretie prehliadaca / karty omylom, zlym kliknutim, aby user nemusel zase vytukavat heslo.

Nic lepsie ma uz nenapada...

Lenze co sa tyka mazania cookies s nulovou expiraciou, opera mi takuto cookie nezmaze, ale skusim ju este preinstalovat, mozno som nieco nastavoval a zabudol nato..

14. 8. 2020 16:15:37

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460207

Erik Šťastný

(6 hodnocení)

14. 8. 2020 16:20:05

Napsal ne;1593843
Lenze co sa tyka mazania cookies s nulovou expiraciou, opera mi takuto cookie nezmaze, ale skusim ju este preinstalovat, mozno som nieco nastavoval a zabudol nato..

Myslím, že i kdyby to bylo nastavením, tak asi nechcete aby nastavení prohllížeče ovlivňovalo bezpečnost a chování aplikace :)

14. 8. 2020 16:20:05

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460206

(22 hodnocení)

14. 8. 2020 16:27:00

praveze nastavenia prehliadaca mozu ovplyvnovat bezpecnost aplikacie .. rozne doplnky, pluginy, nestandardne nastavenia a pod, to vsetko je risk.. ale risk na strane uzivatela, ja musim zabezpecit aplikaciu tak, aby bola co najbezpecnejsia, a nestratit svoje a data uzivatelov, ale nikdy sa to neda urobit na 100% ..

14. 8. 2020 16:27:00

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460205

Erik Šťastný

(6 hodnocení)

14. 8. 2020 16:32:49

Napsal ne;1593847
praveze nastavenia prehliadaca mozu ovplyvnovat bezpecnost aplikacie .. rozne doplnky, pluginy, nestandardne nastavenia a pod, to vsetko je risk.. ale risk na strane uzivatela, ja musim zabezpecit aplikaciu tak, aby bola co najbezpecnejsia, a nestratit svoje a data uzivatelov, ale nikdy sa to neda urobit na 100% ..

Narážím na to, že aplikace by podle mě měla být udělaná tak aby něco co může nastavit uživatel ovlivňovalo její bezpečnost co nejméne, ideálně vůbec.

14. 8. 2020 16:32:49

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460204

(22 hodnocení)

14. 8. 2020 17:04:02

ano rozumieme si, ale ak mi napr. teraz Opera ( 70.0.3728.106 ) nezmaze cookie, ktore zmazat ma, resp. sa to ocakava, pretoze to tak bolo navrhnute, tak mne tato cookie pri dalsom poziadavku pride, a ja nerozlisim ci mala prist, alebo nie.. bezpecnost to sice nenarusi, len na nej nebude fungovat automaticke odhlasenie pri zavreti tabu / prehliadaca..

to iste bude platit v pripade, ak sa to da nejak nastavit (nechat aplikaciu bezat na pozadi) , co sa tusim dalo v chrome, resp. to tak bolo dokonca predvolene

ci to bol bug / feature netusim..

14. 8. 2020 17:04:02

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460203

TomasX

(4 hodnocení)

14. 8. 2020 17:30:08

na mazání cookies se spolehnout nemůžeš. Řada bankovnictví funguje jako SPA, pamatuji si stav v js a obnovení okna vyžaduje nové přihlášení. Prohlížeče mažou cookies ve vlnách a nikoliv striktně, nemají problém stránce poslat cookies, které už by neměly být platné. Díky Google sync a dalším službám se cookies přenášejí mezi zařízeními. Windows se naučil stav prohlížeče (vč. cookies) automaticky zálohovat a obnovovat při restartech. Chrome po zavření tabu ho drží ještě chvilku v paměti (jen tab skryje), aby ho šlo obratem obnovit, to se týká samozřejmě i cookies.

Používej cookies jen jako identifikátor. Automatické odhlašování po zavření tabu by nemělo být závislé na cookies (ty má klient pod plnou kontrolou), ale na stavu tvé aplikace. Uživateli zároveň celý proces musí být jasný a neochaotický.

14. 8. 2020 17:30:08

https://webtrh.cz/diskuse/automaticke-odhlasenie-uzivatela/#reply1460202

Karel Skocdopole