08/02/06 15:02:21
>>658
> でも、開いているドアでも認証が成功すればそのまま入ればいい訳で、
> 閉めないと開けさせないって何かお役所発想って感じもするし、
> 考えているようで何も考えていない設計者にように感じるが。
Webという仕組みが基本的にステートレス・プロトコルである以上、
2重ログインのトライが実際に可能なことは、これはもう仕方がない。
でも2重ログインという事態は必ずしも本人によるものではなく、
ユーザーがパスを抜かれて第三者にログインされている危険性もある。
だから「何者かがドアを開け、正常にドアを閉じずに出て行ったよ」
という情報の通知は、セキュリティ・センシティブなサイトの場合は
絶対必要。銀行系は普通180秒未入力とかの単位でセッションを
タイムアウトさせるし、ログイン時には前回ログアウト時間を表示する。