Durée de session utilisateur

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Durée de session utilisateur

    Bonjour,

    je me pose une question concernant la durée de session utilisateur. Je la règle généralement à 60 minutes.

    Un client me dit qu'il trouve cela trop court quand il est sur son admin sans rien faire et aimerait que j'augmente ce temps. Il me semblait avoir lu quelque part qu'il ne fallait pas avoir une durée trop élevée pour des questions de sécurité, mais je ne vois pas vraiment pourquoi.

    Avez-vous un avis / conseil à ce propos ?

    Merci.
    Dernière édition par thefbi à 16/09/2021, 14h44
    “Un problème sans solution est un problème mal posé." - Albert Einstein
    "La sagesse, c’est d’avoir des rêves suffisamment grands pour ne pas les perdre de vue quand on les poursuit." - Oscar Wilde

  • #2
    Perso je mets même carrément souvent à 15 minutes !

    Mais de fait, si ce client préfère pouvoir continuer à aller dans l'administration sans devoir mettre son mot de passe après 60 minutes, on peut monter la durée.

    (c'est plus une question de principe je pense : si on est sur un plateau et qu'on part déjeuner, facile de venir se connecter p ex. Mais c'est pas une "faille" en soi)
    Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be

    Un message d’erreur sur votre site Joomla... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr

    Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'Association Francophone des Utilisateurs de Joomla : https://www.joomla.fr/association/adherer

    Commentaire


    • #3
      Merci.
      Je suis assez d'accord avec cette réflexion
      “Un problème sans solution est un problème mal posé." - Albert Einstein
      "La sagesse, c’est d’avoir des rêves suffisamment grands pour ne pas les perdre de vue quand on les poursuit." - Oscar Wilde

      Commentaire


      • #4
        Bonjour,

        L'inconvénient est que ça gonflera probablement un peu plus la table des sessions.
        Il est d'ailleurs dommage qu'on ne puisse pas différencier une durée pour le site et une autre pour l'administration.
        Il y a faille à mon avis si l'ordinateur utilisé est un ordinateur accessible à d'autres que son utilisateur habituel.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH

        Commentaire


        • #5
          Bonjour

          Vu mon très grand âge (oui, oui, j'ai connu l'époque où Internet n'existait pas), je me souviens d'un temps où un script javascript qui s'exécutait dans la page affichée dans un onglet du navigateur lambda à parvenir à accéder aux autres onglets et récupérer certaines informations comme celle de la session ouverte.

          C'est pour cette raison que, lorsque tu fais du homebanking, il est primordial d'utiliser un navigateur où tu n'as qu'un seul onglet; celui qui te permettra d'interagir avec la banque.

          Retour dans le présent, je ne sais pas si cela pourrait être toujours le cas mais reste que ce n'est pas idiot de se dire que, dans un monde parano, il est bon d'avoir des sessions courtes et/ou des instances du navigateur différentes selon les sites que tu visites. Moi, perso, quand je vais sur le site de ma banque depuis un navigateur, c'est depuis un navigateur précis; que j'utilise à cette seule fin et je n'ai que le site de la banque; zéro extensions bien sûr.

          Pour revenir à ta question, il est donc bon d'avoir des sessions courtes dans cette hypothèse pour que le risque de vol d'identité soit réduit du fait de la durée plus courte des sessions.

          Voilà, c'était la minute de papyrano Christophe ;-)

          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Hello,

            merci pour vos réponses. J'ai aussi connu les Nokia 3310 sur lequel je jouait au serpent ! La batterie tenait une semaine et on pouvait juste téléphoner avec...

            Internet est arrivé, j'avais 15 ans. Donc je vois tout à fait ce dont tu parles.

            Bref, pour cet exemple, le client est seul, sur son ordi, chez lui. Donc si je rallonge un peu, ça ne devrait pas créer trop de soucis. Merci encore de cos retours.
            “Un problème sans solution est un problème mal posé." - Albert Einstein
            "La sagesse, c’est d’avoir des rêves suffisamment grands pour ne pas les perdre de vue quand on les poursuit." - Oscar Wilde

            Commentaire

            Annonce

            Réduire
            Aucune annonce pour le moment.

            Partenaire de l'association

            Réduire

            Hébergeur Web PlanetHoster
            Travaille ...
            X