|
ru.cgi.perl
- RU.CGI.PERL ------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 21 Mar 2004 22:09:29
To : Maxim Yemelyanov
Subject : Re: Уникальный ID пользователя
--------------------------------------------------------------------------------
Maxim Yemelyanov -> Artem Chuprina @ Sat, 20 Mar 2004 07:51:28 +0000 (UTC):
AC>> AC>> AC>>> А если это Интеpнет кафе?
AC>> AC>> AC>> Закрыл браузер - и привет. Hе закрыл - сам себе
AC>> AC>> AC>> злобный баклан.
AC>> AC>> YK> Убивать сессии, к которым не было обращения n минут?
AC>> AC>> Примерно. Hо вообще когда делают здраво, у сессии есть
AC>> AC>> expiration time с момента ее начала, а не последней операции
AC>> AC>> в этой сессии.
AC>> MY> Гм, а зачем? То есть, понятно, что нужны по меньшей мере два:
AC>> MY> ctime, atime. Вот только какую выгоду несет отсчет expiration от
AC>> MY> ctime, а не от atime? Чем (в контексте кафе) это поможет?
AC>> Модель угроз: сессия подсматривается (на канале) и поддерживается
AC>> постоянно работающей. Долго. Много часов. Много дней.
MY> 1. Если юзер не сделал logout, то сам виноват
MY> 2. Если он его все-таки не сделал... то корректно ли принудительно
MY> выбрасывать его с сайта в самый интересный момент? Впрочем, можно
MY> ограничить макс. время сессии. Разумным пределом.
Именно. И именно разумным.
MY> Еще можно при логине показывать юзеру last login date и last logout date.
Можно. Hо толку? Даже если заставить его каждый раз подписываться под
бумагой, где они указаны, он все равно будет подмахивать ее не глядя, а
потом удивляться, почему ему претензии предъявляют.
--
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
--- ifmail v.2.15dev5.3
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по:
|
