[erledigt] Session-Timeout hier im Forum?

Schreibt hier die Kategorien und Themen rein, die euch momentan hier noch fehlen.
Antworten
Benutzeravatar
Meillo
Moderator
Beiträge: 5112
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

[erledigt] Session-Timeout hier im Forum?

Beitrag von Meillo » 02.08.2018 14:12:57

Hoi,

wie ist denn der Session-Timeout hier im Forum eingestellt? (Vermutlich kann nur feltel diese Frage beantworten.)

Aber vielleicht haben auch andere Ahnung von phpBB:

1) Wenn ich beim Anmelden hier den Haken bei ``angemeldet bleiben'' setze, dann bin ich auf dem gleichen Rechner mit dem gleichen Browser sehr lange angemeldet. Eigentlich werde ich nur ausgeloggt, wenn der Server neu startet oder ich die Cookies loesche. Daraus wuerde ich folgern, dass der Session-Timeout auf dem Server unendlich oder sehr gross ist. Ist dsa korrekt?

2) Wenn ich nun den Haken bei ``angemeldet bleiben'' weglassen (was ich nie tue), wann werde ich dann ausgeloggt?

Was ist der Unterschied wenn ich diese Checkbox verwende? Ich wuerde das gerne technisch verstehen.

Es waere klasse, wenn mich da jemand erleuchten koennte. ;-)


meillo
Zuletzt geändert von Meillo am 08.08.2018 10:53:23, insgesamt 1-mal geändert.
Grund: Thema als erledigt markiert
Use ed(1) once in a while!

MSfree
Beiträge: 3638
Registriert: 25.09.2007 19:59:30

Re: Session-Timeout hier im Forum?

Beitrag von MSfree » 02.08.2018 14:25:53

Meillo hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 14:12:57
Was ist der Unterschied wenn ich diese Checkbox verwende?
Ohne das Setzen des Hächens wird man nach einer gewissen Zeit der Inaktivität "ausgelogt", also die gesetzten Cookies werden ungültig. Gefühlt dürfte die Inaktivitätsspanne ca. 60-90min betragen, zumindest muß ich mich z.B. nach einer längeren Mittagspause neu einloggen.

Benutzeravatar
Meillo
Moderator
Beiträge: 5112
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Session-Timeout hier im Forum?

Beitrag von Meillo » 02.08.2018 14:47:17

MSfree hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 14:25:53
Meillo hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 14:12:57
Was ist der Unterschied wenn ich diese Checkbox verwende?
Ohne das Setzen des Hächens wird man nach einer gewissen Zeit der Inaktivität "ausgelogt", also die gesetzten Cookies werden ungültig. Gefühlt dürfte die Inaktivitätsspanne ca. 60-90min betragen, zumindest muß ich mich z.B. nach einer längeren Mittagspause neu einloggen.
Ach, dann wird der Session-Timeout vielleicht nur ohne Haken beruecksichtigt ... und bei ``angemeldet bleiben'' laeuft die Session ewig? ... hmm

In einem anderen phpBB-Forum werde ich immer nach gefuehlt einer Stunde ausgeloggt (Session-Timeout steht auf 1h), egal ob ich den Haken setze oder nicht. Das verstehe ich nicht. Darum meine Frage.
Use ed(1) once in a while!

Benutzeravatar
schorsch_76
Beiträge: 1783
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Session-Timeout hier im Forum?

Beitrag von schorsch_76 » 02.08.2018 14:54:26

Ich erinnere mich das fettel irgendwann den Session Timeout hoch gesetzt hat, da wir hauptsächlich aus der *hust* Arbeit *hust* im Forum sind ;)

Benutzeravatar
Meillo
Moderator
Beiträge: 5112
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Session-Timeout hier im Forum?

Beitrag von Meillo » 02.08.2018 17:24:51

Hab da noch was gefunden: viewtopic.php?f=14&t=161263

Damals wurde es auf 2h hochgesetzt.

Das wuerde dann die Theorie bestaetigen, dass beim Setzen des Hakens ``angemeldet bleiben'' der Timeout ignoriert wird ... also vielleicht kein ``expires''-Wert beim Cookie gesetzt wird? Ich kenn mich nicht so damit aus. Werde mal in Ruhe damit rumspielen und mir die Cookies angucken muessen ... wenn's nicht 'n anderer fuer mich macht. ;-)
Use ed(1) once in a while!

wanne
Moderator
Beiträge: 5618
Registriert: 24.05.2010 12:39:42

Re: Session-Timeout hier im Forum?

Beitrag von wanne » 03.08.2018 11:46:58

Cookies laufen etwa ein Jahr. Länger kann man also nicht eingeloggt bleiben.
Ansonsten haben die Sessions auch noch ne feste IP, was für reisende extrem unangenehm ist.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
feltel
Webmaster
Beiträge: 9643
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: Session-Timeout hier im Forum?

Beitrag von feltel » 03.08.2018 13:53:03

wanne hat geschrieben: ↑ zum Beitrag ↑
03.08.2018 11:46:58
Cookies laufen etwa ein Jahr. Länger kann man also nicht eingeloggt bleiben.
Ansonsten haben die Sessions auch noch ne feste IP, was für reisende extrem unangenehm ist.
Jain. Bei der IP werden nur die ersten drei Oktets bei der Prüfung herangezogen. Man könnte das entweder noch abschalten oder auf die ersten beiden Oktets begrenzen. Das macht es aber anfälliger für Session-Hijacking.

Benutzeravatar
Meillo
Moderator
Beiträge: 5112
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Session-Timeout hier im Forum?

Beitrag von Meillo » 08.08.2018 10:52:37

Meillo hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 14:47:17
MSfree hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 14:25:53
Meillo hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 14:12:57
Was ist der Unterschied wenn ich diese Checkbox verwende?
Ohne das Setzen des Hächens wird man nach einer gewissen Zeit der Inaktivität "ausgelogt", also die gesetzten Cookies werden ungültig. Gefühlt dürfte die Inaktivitätsspanne ca. 60-90min betragen, zumindest muß ich mich z.B. nach einer längeren Mittagspause neu einloggen.
Ach, dann wird der Session-Timeout vielleicht nur ohne Haken beruecksichtigt ... und bei ``angemeldet bleiben'' laeuft die Session ewig? ... hmm
Meine Tests bestaetigen diese Annahme.

- Ohne Haken werde ich nach ca. 2h ausgeloggt. Das ist der Session-Timeout, der im Forum eingestellt ist.

- Mit dem Haken bei ``angemeldet bleiben'' laeuft die Session weiter ... bis ich halt meine Cookies loesche oder der Server neu startet (diese beiden Faelle habe ich schon erlebt). Zudem gibt's wohl noch die Faelle, dass, wie wanne schreibt, die Cookies nach einem Jahr ungueltig werden, und, wie feltel schreibt, die Cookies an die ersten drei Oktets der IP-Adresse gekoppelt sind.


In einem anderen phpBB-Forum werde ich immer nach gefuehlt einer Stunde ausgeloggt (Session-Timeout steht auf 1h), egal ob ich den Haken setze oder nicht. Das verstehe ich nicht. Darum meine Frage.
In dem Fall des anderen Forums hat es daran gelegen, dass gar keine Cookies gesetzt worden sind, und die Session-ID in der URL transportiert wurde. Das ist also ein anderer Fall, der sich inzwischen dadurch geloest hat, dass nun Cookies aktiviert wurden.



Leider akzeptiert w3m (0.5.3+cvs-1.1055) keine phpBB-Cookies:

Code: Alles auswählen

This cookie was rejected to prevent security violation. [wrong number of dots]
Das hat zur Folge, dass beim Zugriff mit w3m die SID in der URL transportiert wird und man sich ziemlich oft neu einloggen muss. Die Benutzung des Forums mit w3m waere eigentlich schon unhandlich genug ... aber nun gut. ;-)



Aus meiner Sicht kann das Thema fuer erledigt betrachtet werden. Ich sehe keinen Aenderungsbedaf. Danke an alle, die etwas dazu beigetragen haben.
Use ed(1) once in a while!

Benutzeravatar
feltel
Webmaster
Beiträge: 9643
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: [erledigt] Session-Timeout hier im Forum?

Beitrag von feltel » 08.08.2018 16:39:49

Ich hab das Thema mal nach Lob & Kritik verschoben, damit die Infos, die hier zusammengetragen und für den einen oder anderen relevant sein könnten, nicht im Smalltalk untergehen.

eggy
Beiträge: 1552
Registriert: 10.05.2008 11:23:50

Re: Session-Timeout hier im Forum?

Beitrag von eggy » 08.08.2018 17:07:16

Meillo hat geschrieben: ↑ zum Beitrag ↑
08.08.2018 10:52:37

Code: Alles auswählen

This cookie was rejected to prevent security violation. [wrong number of dots]
Gehts dabei um den? https://bugs.debian.org/cgi-bin/bugrepo ... bug=385702
Ohne mir den Code im Detail angesehn zu haben: laut dem einen Beitrag dort, könnte vielleicht ne Ausnahme in check_avoid_wrong_number_of_dots_domain in cookie.c was bringen.

wanne
Moderator
Beiträge: 5618
Registriert: 24.05.2010 12:39:42

Re: [erledigt] Session-Timeout hier im Forum?

Beitrag von wanne » 09.08.2018 09:45:02

Man könnte das entweder noch abschalten oder auf die ersten beiden Oktets begrenzen. Das macht es aber anfälliger für Session-Hijacking.
Ich wäre ganz klar für abschalten: Seit Strict-Transport-Security sind passive Angriffe eh kaputt. Und wer aktiv angreift hat eh die selbe IP.
Daneben hebelt der angemeldet-bleiben Haken sowieso alles aus.
Ich gehöre ja eher zu den Sicherheitsfanatikern aber man muss auch zwischen Kosten und Nutzen abwägen: Das macht mir halt die Bequemlichkeit kaputt und bringt nur in sehr seltenen Fällen was.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten