• Session
• Autentisering (Inloggning)

Kom ihåg användaren länge

Sessioner på webben avslutas när användaren under tid inte gått vidare till en ny sida (eller varit aktiv på något annat sätt som webbservern märker).

Om en inloggad eller identifierad användare vill se en ny sida på webbplatsen efter att sessionen är slut, måste hon autentisera sig på nytt.

Hur lång overksamhet som krävs för att sessionen skall avslutas blir en avvägning mellan bekvämlighet för användaren, säkerhet och i någon liten mån resursbehov.

Nackdelen med snåla system, som koppla ner redan efter kort overksamhet, är att om användaren autentiserar sig manuellt så är de en stor källa till irritation – hon tvingas logga in gång på gång. För användare med funktionshinder som gör att de arbetar långsamt kan detta göra webbplatsen helt otillgänglig.

Risken med generös tid ligger i om användaren lämnar sin dator utan att låsa den och utan att logga ut. Då kan någon annan låna den – och därmed stjäla användarens identitet.

Generös tid gör också att användare som egentligen sedan länge är klara och har lämnat webbplatsen tar upp plats i webbserverns minne. I praktiken är detta dock inte något problem om man inte har extrema mängder besökare.

Min personliga inställning är att tidsgränsen bör sättas mycket generöst, minst tio timmar. Då klarar användaren garanterat en arbetsdag med bara en inloggning, även om hon är borta mycket från datorn. (Om du frågar en säkerhetsmänniska istället för en användbarhetsmänniska är det dock möjligt att du får ett helt annat svar.)

Även med en mer restriktiv inställning bör användaren få minst en halvtimme på sig för att sidan skall kunna sägas vara tillgänglig.

Viktigare för säkerheten än att sätta en snål tid är att förse webbplatsen med en tydlig ”Glöm mig” eller ”Logga ut”-knapp.