웹 응용 프로그램에서 로그인 상태를 유지하기 위해 영구 쿠키를 사용하는 보안 감사인 플래그가 방금 있습니다. 약간의 배경 지식으로, 우리의 웹 애플리케이션은 멀티 테넌트 (multi-tenanted)이지만 아무런 (또는 많지 않은) 조작은 파괴적입니다. 우리 포털을 통해 입주자가 중요한 정보에 따라 다를 수 있습니다.영구 쿠키 사용 여부
위로 우리가 우리의 응용 프로그램을 디자인 할 때, 우리는 영구적 인 쿠키의 사용에 대해 논의했고, 우리가 유용성에 근거해야한다고 결정했습니다. 우리는 정보를 민감한 정보로 간주하지 않았으며 여전히 학위를받지 못했습니다. 우리의 사용자는 초보자이며 수백 건의 비밀번호 재설정 요청에 더 관심이있었습니다.
로그인에 영구 쿠키를 사용하는 것이 보안 위험으로 간주됩니까? 우리가 꽤 큰 대기업의 운영 데이터에 관해 이야기 할 때 유용성에 대한 논의는 논의가 될까요?
Google은 고객이 아닌 영구 쿠키와 관련하여 어떠한 질문도하지 않았습니다. 양면을 만족시키기 위해 기본값이 꺼져있는 '진드기를 지키는 진드기'를 구현할 가치가 있습니까?
보안은 항상 유용성과 상반 관계에 있으며 대부분의 경우 사용자는 개발자와 개발자가 잘 알고있는 것보다 감사하는 것보다 잘 알고 있습니다. – Kimvais
http://security.stackexchange.com/에서이 질문에 대한 더 나은 답변을 얻을 수 있습니다. –
@IlmariKaronen 나는 그것을 고려했다. 그러나 나는 담장의 양쪽에서 이슈를 볼 수있는 비보안 사람들의 의견을 따랐다. 보안 대 가용성. –