Mulighed for indstilling af den automatiske log-af tid

Question

Det kunne være lækkert for os at kunne sætte tidsintervallet på det automatiske logoff ved inaktivitet.

Comments

Fuldstændigt enig.

Answer 1

Det lyder som en god ide.

Og jeg ville blive endnu gladere, hvis man kunne lave en "resume funktion", så man starter samme sted igen, hvis man har været logget ud på grund timeout.

/Bent Kroghly

Answer 2

Hej PMH DNDT og Bent
 

Tusind tak for jeres indlæg og dit svar Bent.
 

Det er en sikkerhedsmæssig indstilling at man ikke kan stille på tiden, for hvornår man bliver logget af ved inaktivitet. Det samme gør sig gældende for den efterspurgte ”resume funktion”. Det er de samme sikkerhedsforanstaltninger vi har i e-conomic, som forskellige netbanker benytter sig af. Det skyldes at vi ønsker den bedst mulig sikkerhed for vores kunder og vil ikke gå på kompromis her.
 

Herinde kan i læse alt om sikkerheden ved at have sit regnskab i e-conomic.
 

Rigtig god weekend til jer

Comments

Hej Nicoline

Det er fair nok at I fokuserer på sikkerhed, men jeg mener sagtens at man kan håndtere begge dele på samme tid. Man vil sagtens kunne slå timeout fra eller sætte den langt højere i den application pool, der håndterer websitet. I stedet kunne man så udvikle en applikationsstyret timeout, som f.eks. sættes til 20 minutter standard for alle brugere, men som de selv kan ændre på individuelt. Hvis en bruger selv åbner for et sikkerhedshul, så er de selv klar over det og må tage ansvaret for deres handlinger.

Det samme synes jeg gælder for argumenter så som, at en bruger måske glemmer at låse for sin pc. Hvorfor skal det gå ud over alle andre, at nogle brugere sløser med deres sikkerhed. Timeout på systemet er enormt irriterende, og især hvis man mister den tekst, man evt. lige er ved at skrive på skærmen, f.eks. varebeskrivelse.

Dertil kommer så problemer med, at man i loginbilledet kan vælge "Husk mig" (eller lignende), men den husker kun aftalenummer og brugernavn (ikke adgangskoden). Man lokkes med andre ord til at bede webbrowseren om at huske adgangskoden, og dermed kompromitterer man sikkerheden yderligere.

Grundlæggende har jeg lidt svært ved at se, hvorfor adgangen til regnskabet skulle sikres på samme måde som en bank. I en bank kan man trods alt overføre en masse penge direkte til en anden konto, men hvorfor skulle man ville tiltvinge sig adgang til regnskabet? Jeg ved godt at I disse tider med industrispionage, skal man naturligvis være forsigtig, men det sker næppe som følge af en ikke-aflåst pc. I så fald kunne en hacker jo blot logge på remote og afvente at brugeren logger på regnskabet selv. Og hvis brugeren har gemt sin adgangskode til systemet i webbrowseren, så er timeout sikkerheden alligevel nyttesløs.

Argumenter så som belastning på serverne, synes jeg heller ikke holder i længden. En inaktiv brugersession vil næppe generere det store load på serverne og de anvendte ressourcer (især hukommelse) burde ikke være de store, især ikke hvis applikationen rydder op efter sig selv korrekt. Dertil kommer at hukommelse jo praktisk talt er noget man får smidt i nakken, så skulle det heller ikke være noget problem. Når applikationen eller serverne genstartes (eller ved recycling), så frigives disse alligevel og aktive/inaktive loginsessioner lukkes.

I forbindelse med mit forslag, så kunne man jo blot kræve ekstra login ved forsøg på at tilgå administrative eller særligt følsomme områder.

Med venlig hilsen
Ronnie Huang-Andreasen