Session-IP bindung
Session-IP bindung
Hi, Ich bin ganz gerne mal von Unterwegs online. Hin und wieder ist dann die Verbindung weg. An sich ist das unproblematisch man wartet kurz, drückt auf zurück und schon hat man seinen beitrag wieder und kann ihn absenden. Problematisch wird's wenn die IP wechselt. Dann macht das Forum die session auf kaputt. Satt des beitrags bekommt man den loginscreen vorgesetz und kann nochmal neu schreiben.
Prinzipiell kann man das umgenehen, indem man einen neuen Tab öffenet und sich da zuerst anmeldet und dann zurück drückt aber ich vergesse das dann doch relativ regelmäßig.
Das gleiche Szenario habe ich, wenn ich mich mal unbedacht aus/in ein VPN aus-/einwähle
Deswegen die Frage: Könnte man die bindung zwischen session ID und IP nicht aufheben? (So wie das früher eigentlich bei allen Foren üblich war.) Der Sinn erschließt sich mir sowieso nicht so ganz.
Prinzipiell kann man das umgenehen, indem man einen neuen Tab öffenet und sich da zuerst anmeldet und dann zurück drückt aber ich vergesse das dann doch relativ regelmäßig.
Das gleiche Szenario habe ich, wenn ich mich mal unbedacht aus/in ein VPN aus-/einwähle
Deswegen die Frage: Könnte man die bindung zwischen session ID und IP nicht aufheben? (So wie das früher eigentlich bei allen Foren üblich war.) Der Sinn erschließt sich mir sowieso nicht so ganz.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Die Idee ist, dass ich auf irgendwelchen Wegen deinen Session-Cookie abgreifen kann, dieser aber ohne besonderen Aufwand fuer mich trotzdem wertlos ist. Ich find's sinnvoll.
Zur Not kann man sich ja irgendwohin 'nen SSH-Tunnel bauen oder VPN verwenden, was du ja schon tust.
Gruss Cae
Zur Not kann man sich ja irgendwohin 'nen SSH-Tunnel bauen oder VPN verwenden, was du ja schon tust.
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Session-IP bindung
Naja, ob ich jetzt session cookies oder session cookies+IP fälsche ist glaube ich nicht so wirklich der dicke Unterschied. Steht ja alles im gleichen paket. In meinen Augen ein ziemlich nutzloses pseudo-Security feature das eine Menge Komfortverlust verursacht. Und in einige Umgebngen (z.B. UNI-WLAN) das Forum fast total unnutzbar macht. Ich meine wir haben uns gegen hartes SSL entschieden, weil es ja irgend welche verrückten geben könnte die in einer total absurden umgebung sind, wo kein SSL geht.Cae hat geschrieben:Die Idee ist, dass ich auf irgendwelchen Wegen deinen Session-Cookie abgreifen kann, dieser aber ohne besonderen Aufwand fuer mich trotzdem wertlos ist. Ich find's sinnvoll.
Und gerade SSH ist eben keine lösung ich will nicht alle 2 meter mich erstam wieder neu in SSH einwählen und dann für jede Seite einen Tunnel bauen.
VPN ist etwas robuster und praktikabler und läuft sowieso. Aber wenns dann abbricht hab ich eben wieder ne neue IP, weil da die Adressen erstrecht dynamsich vergeben werden.
rot: Moderator wanne spricht, default: User wanne spricht.
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Session-IP bindung
Bei instabilen Verbindungen nutze ich gerne autossh. Das hilft in Verbindung mit dem agent übers gröbste hinweg.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: Session-IP bindung
Ja, wie gesagt, das VPN hilft bei mir im Normalfall auch relativ gut. Aber eben nicht immer.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Bei Mosh bricht die SSH Verbindung nicht ab:
https://packages.debian.org/wheezy/mosh
An Sonsten weis ich auch nicht.
Vielleicht mal mit einem MultipathTCP fähigen Kernel rumspielen, vielleicht lässt sich das schon verwenden.
https://packages.debian.org/wheezy/mosh
An Sonsten weis ich auch nicht.
Vielleicht mal mit einem MultipathTCP fähigen Kernel rumspielen, vielleicht lässt sich das schon verwenden.
Re: Session-IP bindung
Nur als Hinweis: Der meiste Teil des Threads ist off-topic, weil es eigentlich um den feature request ging, das IP-Locking rauszunehmen.
Gruss Cae
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Session-IP bindung
So möchte das nochmal aufwären: Habe gerade mal wieder mal einen Längeren Beitrag dazu geschreiben:
viewtopic.php?f=12&t=154102
Diesmal von Zuhause. Aber irgend wann schlägt die Zwangstrennung zu und weg war der Beitrag.
Defakto verhindert das einfach das einfach sehr effizient das Posten von längeren (und dmit typischerweise substantiell eher hochwertigeren) Beiträgen.
Und wie schon mehrfach angemerkt: Wenn es um irgend was geht das die Sicherheit (im Gegensatz zu den dämlichen IP-Bindungen) wirklich erhöhen würde ist stöst man ja auch immer nur auf taube Ohren. (Stichwort secure cookies o.ä.)
viewtopic.php?f=12&t=154102
Diesmal von Zuhause. Aber irgend wann schlägt die Zwangstrennung zu und weg war der Beitrag.
Defakto verhindert das einfach das einfach sehr effizient das Posten von längeren (und dmit typischerweise substantiell eher hochwertigeren) Beiträgen.
Und wie schon mehrfach angemerkt: Wenn es um irgend was geht das die Sicherheit (im Gegensatz zu den dämlichen IP-Bindungen) wirklich erhöhen würde ist stöst man ja auch immer nur auf taube Ohren. (Stichwort secure cookies o.ä.)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Das kurze Betätigen von Strg+A und Strg+C kann einem jede Menge Tipparbeit sparen ...
Never change a broken system. It could be worse afterwards.
"No computer system can be absolutely secure." Intel Document Number: 336983-001
"No computer system can be absolutely secure." Intel Document Number: 336983-001
Re: Session-IP bindung
Kann ich nicht nachvollziehen, das Forum loggt mich nur recht selten aus (das geht über Monate und verschiedene IPs), vergisst du eventuell das Häkchen bei dauerhaft angemeldet bleiben?Problematisch wird's wenn die IP wechselt. Dann macht das Forum die session auf kaputt.
Ansonsten würde ich mich nach Browser Extensions umsehen, gibt ja noch andere Möglichkeiten den Inhalt eines Browser Formularfeldes versehentlich zu vernichten…
z.B. https://addons.mozilla.org/de/firefox/a ... src=search liest sich ganz gut (ungetestet, Ergebnis einer kurzen Suche)
"Einfachste" Methode wäre natürlich längere Texte in einem Editor zu schreiben.
Unix is user-friendly; it's just picky about who its friends are.
Re: Session-IP bindung
Empfehle auch Lazarus um Formulardaten wiederherzustellen. Oder den Text im Vim editieren .
Re: Session-IP bindung
Ja. Genau das habe ich vergessen. Ist halt leider jedes mal wieder weg beim einloggen und mega dämlich wenn man 10k mal das Häkchen zu setzen. Meinetwegen könnte man das auch als default setzen.catdog2 hat geschrieben:Kann ich nicht nachvollziehen, das Forum loggt mich nur recht selten aus (das geht über Monate und verschiedene IPs), vergisst du eventuell das Häkchen bei dauerhaft angemeldet bleiben?
Ansonsten:
- Nein, ich benutze keinen Firefox, und habe auch keine Lust ihn zu benutzen.
- Prinzipiell habe ich sowas wie nen cache. Nur wenn ich auf Vorschau klicke (und das noch funktioniert) funktioniert das nicht mehr, weil dann beim antworten TextArea anders heißt.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Ja. Genau das habe ich vergessen. Ist halt leider jedes mal wieder weg beim einloggen und mega dämlich wenn man 10k mal das Häkchen zu setzen. Meinetwegen könnte man das auch als default setzen. (Am besten im Profil. Aber ich denke das ist relativ schwer anzupassen.)catdog2 hat geschrieben:Kann ich nicht nachvollziehen, das Forum loggt mich nur recht selten aus (das geht über Monate und verschiedene IPs), vergisst du eventuell das Häkchen bei dauerhaft angemeldet bleiben?
Das wirklich dumme war das ich das sogar gemacht habe (wegen der Formatierung in code tags):Oder den Text im Vim editieren
Nur copy->paste>Vorschau->sieht gut aus->Editor schließen->absenden->NeueIP->Foo!
Ansonsten:
- Nein, ich benutze keinen Firefox, und habe auch keine Lust ihn zu benutzen.
- Prinzipiell habe ich sowas wie nen cache. Nur wenn ich auf Vorschau klicke (und das noch funktioniert) funktioniert das nicht mehr, weil dann beim antworten TextArea anders heißt.
- Es ist und bleibt einfach ein Bug hier im Forum. (Vorteile sind praktisch inexistent.) Den ich eigentlich nicht 20 mal Clientseitig Lösen will.
Ist ja nicht so, ich mich an anderer Stelle nicht drum gekümmert habe...
rot: Moderator wanne spricht, default: User wanne spricht.
- Patsche
- Beiträge: 3261
- Registriert: 21.06.2013 01:47:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: /home/10001101001
Re: Session-IP bindung
Ich kenne das Problem nur vom Handy. Ich nutze dort Firefox ohne Cookies. Leider kann man dort keine Cookies verwalten. Da gibt es nur Ja/Nein. Und von Cookie-Monster kann man dort wohl nur träumen....
Re: Session-IP bindung
Naja das Cookie hält ja lange wenn man es einmal geschafft hat.Ja. Genau das habe ich vergessen. Ist halt leider jedes mal wieder weg beim einloggen und mega dämlich wenn man 10k mal das Häkchen zu setzen.
könnte man machen.Meinetwegen könnte man das auch als default setzen.ft hat.
Hab ich gesagt, dass du den nutzen musst?Nein, ich benutze keinen Firefox, und habe auch keine Lust ihn zu benutzen.
Naja es ist müsig darüber zu diskutieren, das Forum bietet die Möglichkeit ein Dauercookie zu setzen, musst es nur nutzen.Es ist und bleibt einfach ein Bug hier im Forum. Der absolut nichts an Vorteilen bringt. (Vorteile sind praktisch inexistent.) Den ich eigentlich nicht 20 mal Clientseitig Lösen will.
Unix is user-friendly; it's just picky about who its friends are.
Re: Session-IP bindung
Nein. Auch das "Dauercookie" ist beim logout weg.catdog2 hat geschrieben:Naja es ist müsig darüber zu diskutieren, das Forum bietet die Möglichkeit ein Dauercookie zu setzen, musst es nur nutzen.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.
Re: Session-IP bindung
Sowas ist einfach nur kranke Bedienung die keiner auf dauer durchhällt.niemand hat geschrieben:Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.
Btw: Markieren hilft eben nicht, weil dir der Fokus beim Abssenden drücken abhanden kommt und was anderes in deiner Zwischenablage liegt. Lediglich wenn man so Dinge wie klipper nutzt in denen man einen vollständigen Verlauf hat funktioniert das.
Nochmal: Ich habe absolut keine lust daruaf, tipps zu bekommen, wie ich mit Kopfstandmachen und Ohrenwackeln doch dafür sorgen kann, dass der Post nach mehreren versuchen akommt sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?
Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen ….
Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen ….
Du willst also, dass jeder, der deine Session-ID abgreift, in deinem Namen posten kann. Mag ja sein, dass du nicht der Einzige mit dem Wunsch bist – ich hege ihn allerdings auf gar keinen Fall.[…] sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.
Re: Session-IP bindung
Schon schlimm diese Bewegung ja, alternativ kann man auch ctrl+a, ctrl+c,end drücken.Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?
Natürlich könnte sich die Forensoftware etwas bedienerfreundlicher verhalten und ein Login ermöglichen ohne den Post zu verwerfen aber da verweise ich dann mal auf https://www.phpbb.com/
Unix is user-friendly; it's just picky about who its friends are.
Re: Session-IP bindung
Bullshit. Wer an dein Cookie kommt, kommt auch an deine IP. (Meistens hat er sie sowieso.) Sessionhijacking wird damit nur marginal erschwert. (Weswegen ich ja auch an anderer Stelle darum gebeten habe die Cookies an TLS zu binden.) Wer dein Cookie hat, hat deine Session. Deswegen ist das zu schützen. (Was dank TLS-pinning wohl mitlerweiles sogar großteils der Fall ist.)niemand hat geschrieben:Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen
Das ist doch bullshit, dass irgend jemand zwar in der Lage ist TLS brechen ohne die IP auf die des absenders zu faken (Was in den letzten 15 Jahren TLS-existenz trotz massiver Forschung niemand gelungen ist.) aber dann daran scheitert nen iptables oder ethercap befehl abzusetzen der ihm die IP faked. (Und jetzt bitte nicht irgend welche Sonderfälle von dilitantisch konfigurierten Servern. Die sind für das Debianforum uninteressant.)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Bullshit ist’s, dass es krank wäre, seinen Text zu markieren und Bullshit ist’s, dass es für den normalen Anwender nicht zumutbar wäre, das Häkchen beim Einloggen zu setzen.