- PR -

Webアプリケーションにログオフ機能は必要?

投票結果総投票数:51
必要 47 92.16%
不要 3 5.88%
どちらでもいい 1 1.96%
  • 投票は恣意的に行われます。統計的な調査と異なり、投票データの正確性や標本の代表性は保証されません。
  • 投票結果の正当性や公平性について、@ITは一切保証も関与もいたしません。
投稿者投稿内容
flatline
大ベテラン
会議室デビュー日: 2005/09/22
投稿数: 102
投稿日時: 2008-03-24 02:44
ログイン機能を持つWebアプリケーションがあるとします。
・Cookie は使用しません。
・ログイン情報はセッションに格納します。
・セッションタイムアウト時間は30分ぐらいに設定します。
・データベースへの接続はリクエスト毎に行います(コネクションをセッションに格納したりしない)。

このようなアプリケーションの場合、ログオフ機能は必要でしょうか?
エンドユーザから「ログオフ機能がないと不安でねえ」と言われてしまって、一般的にはどうなんだろう、と思った次第です。


カーニー
ぬし
会議室デビュー日: 2003/09/04
投稿数: 358
お住まい・勤務地: 東京
投稿日時: 2008-03-24 10:27
同じ端末から違うアカウントでログインし直したくなったら、やっぱり30分待つことになるのでしょうか。
さかもと
ぬし
会議室デビュー日: 2004/05/14
投稿数: 586
投稿日時: 2008-03-24 10:35
さかもとと申します。

1:その端末はAさん以外使わない
2:その端末は社外には持ち出さない
3:WEBアプリはイントラ上でしか利用できない
4:ブラウザがログオン中に落ちて、再ログインの時はどうするかは検討済み

ということであればよいかもしれません。

_________________
------------------------------------------
拝啓、さかもとと申します♪
flatline
大ベテラン
会議室デビュー日: 2005/09/22
投稿数: 102
投稿日時: 2008-03-24 12:31
引用:

同じ端末から違うアカウントでログインし直したくなったら、やっぱり30分待つことになるのでしょうか。



いえ、ブラウザを落として、ブラウザを立ち上げてログインするだけです。

引用:

4:ブラウザがログオン中に落ちて、再ログインの時はどうするかは検討済み



これも同じです。ブラウザを立ち上げてログインするだけです。

ログイン中であるかどうかはセッション上にしか持たない(永続化とかしない)ので、
ブラウザを落とした瞬間にログイン情報は失われます。
jama
常連さん
会議室デビュー日: 2006/09/12
投稿数: 45
投稿日時: 2008-03-24 18:33
引用:

・Cookie は使用しません。


「Cookieは使用しません」の意味は何でしょうか?
ブラウザで「全てのクッキーをブロックする」を設定するのでしょうか?

引用:

ログイン中であるかどうかはセッション上にしか持たない(永続化とかしない)ので、
ブラウザを落とした瞬間にログイン情報は失われます。


ホストには、セッションタイムアウト時間(30分)保存されます。

セッションハイジャックなどあるので、ログオフはあった方がいいと思います。
unibon
ぬし
会議室デビュー日: 2002/08/22
投稿数: 1532
お住まい・勤務地: 美人谷        良回答(20pt)
投稿日時: 2008-03-24 18:57
引用:

flatlineさんの書き込み (2008-03-24 02:44) より:
このようなアプリケーションの場合、ログオフ機能は必要でしょうか?
エンドユーザから「ログオフ機能がないと不安でねえ」と言われてしまって、一般的にはどうなんだろう、と思った次第です。


まあ、考え方にもよりますが、必須ではないでしょう。なくても動きます。

たとえばですが、銀行などのATMを使っているときも、暗証番号を入力したり通帳を入れるといったログオン操作はあるけど、明確なログオフ操作がなくて、立ち去った後に、撮り忘れた現金が取り出し口に残っていないか、や、残高の数字が画面に残っていて、次の人に見られないかなど、なんとなく不安です。

ネット上でも、ログオフのないサイトは良くみかけます。偽の「ログオフ」ボタンがあって、それを押すとトップのログイン画面に戻るけど、ブラウザーの戻るボタンを押すと、残ったセッションで操作ができてしまったりするのでバレるサイトもあります。個人的には、そういうサイトはセキュリティーの甘いサイトとして、ランク付けは低いです。
今の時代に、あえてログオフ機能を付けない理由がありませんので、付けるべきだと思います。
flatline
大ベテラン
会議室デビュー日: 2005/09/22
投稿数: 102
投稿日時: 2008-03-24 22:47
引用:

「Cookieは使用しません」の意味は何でしょうか?
ブラウザで「全てのクッキーをブロックする」を設定するのでしょうか?


説明が足りませんでしたね。Cookie で、クライアント側にユーザ情報などを
保存するようなことはない、という意味でした。
flatline
大ベテラン
会議室デビュー日: 2005/09/22
投稿数: 102
投稿日時: 2008-03-24 22:56
引用:

今の時代に、あえてログオフ機能を付けない理由がありませんので、付けるべきだと思います。



あえてログオフ機能を付けない理由を挙げると、

・ログオフボタンがあるにもかかわらず、ブラウザを閉じることで落としてしまうと、
「正しく終了していないために、データが壊れてたりしないか」と思ったりする。
・「ログオフボタンを押さないと、クライアント(つまりブラウザのキャッシュなど)に個人情報が残ったりするのではないのか」という、よけいな不安を与えることになる。

ってところでしょうか。まあ、大抵の人は気にもしないでしょうが。

ログオフ機能があるにもかかわらず、ブラウザを閉じることで終わってしまった場合、
どのような対策をしていますか?

スキルアップ/キャリアアップ(JOB@IT)