Técnicas para as WCAG 2.0

Ir para o conteúdo (Pressione a tecla Enter)

-

G181: Codificar dados de utilizador como dados ocultos ou encriptados numa página de nova autorização

Aplicabilidade

Páginas que necessitem de autenticação por parte do utilizador quando o tempo disponível para submeter os dados é limitado.

Esta técnica está relacionada com:

Descrição

Os servidores da Web que necessitam de autenticação do utilizador terminam, muitas vezes, a sessão após um período de tempo definido sem qualquer acção por parte do utilizador. Se o utilizador não for suficientemente rápido a introduzir os dados e a sessão expirar antes da submissão, o servidor irá necessitar de uma nova autenticação antes de prosseguir. Quando isto acontece, o servidor transmite (como dados ocultos) as informações do formulário para a página utilizada para a nova autenticação. Em seguida, quando o utilizador efectua a nova autenticação, o servidor pode utilizar as informações transmitidas a partir da página da nova autenticação para submeter o formulário directamente ou apresentar uma página que inclua os dados que serão submetidos para revisão. Nesta técnica, o servidor não tem de armazenar quaisquer dados submetidos pelo utilizador. Esta é uma técnica importante para os casos em que seja ilegal, ou represente um risco de segurança, o servidor armazenar as informações temporariamente. Também é útil, uma vez que isenta o servidor de ter de manter as informações armazenadas e de as voltar a ligar com a sessão recentemente autenticada.

Nota: Se os dados que os utilizadores estiverem a submeter forem confidenciais ou representarem um risco de segurança, os autores devem considerar o processo utilizado para transmitir os dados para a página da nova autenticação e, após a nova autenticação, para a página que irá processar os dados originais para garantir que os dados estão protegidos.

Exemplos

Testes

Procedimento

Num sítio da Web que necessite que o utilizador inicie sessão para submeter os dados:

  1. Inicie sessão e comece a actividade temporizada.

  2. Deixe a sessão expirar.

  3. Submeta os dados.

  4. Volte a autenticar.

  5. Verifique se o processo pode continuar e ser concluído sem perder os dados, incluindo os dados originais e todas as alterações efectuadas após a nova autenticação.

  6. Verifique se o processo utilizado para guardar as informações submetidas no passo 3 não está armazenado no servidor. (Nota: Isto requer conhecimento da tecnologia e das funcionalidade utilizadas para implementar a técnica.)

Resultados Esperados