Session-IP bindung

Schreibt hier die Kategorien und Themen rein, die euch momentan hier noch fehlen.
Antworten
wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Session-IP bindung

Beitrag von wanne » 31.05.2014 13:26:40

Hi, Ich bin ganz gerne mal von Unterwegs online. Hin und wieder ist dann die Verbindung weg. An sich ist das unproblematisch man wartet kurz, drückt auf zurück und schon hat man seinen beitrag wieder und kann ihn absenden. Problematisch wird's wenn die IP wechselt. Dann macht das Forum die session auf kaputt. Satt des beitrags bekommt man den loginscreen vorgesetz und kann nochmal neu schreiben.
Prinzipiell kann man das umgenehen, indem man einen neuen Tab öffenet und sich da zuerst anmeldet und dann zurück drückt aber ich vergesse das dann doch relativ regelmäßig.
Das gleiche Szenario habe ich, wenn ich mich mal unbedacht aus/in ein VPN aus-/einwähle

Deswegen die Frage: Könnte man die bindung zwischen session ID und IP nicht aufheben? (So wie das früher eigentlich bei allen Foren üblich war.) Der Sinn erschließt sich mir sowieso nicht so ganz.
rot: Moderator wanne spricht, default: User wanne spricht.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Session-IP bindung

Beitrag von Cae » 31.05.2014 13:35:47

Die Idee ist, dass ich auf irgendwelchen Wegen deinen Session-Cookie abgreifen kann, dieser aber ohne besonderen Aufwand fuer mich trotzdem wertlos ist. Ich find's sinnvoll.

Zur Not kann man sich ja irgendwohin 'nen SSH-Tunnel bauen oder VPN verwenden, was du ja schon tust.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 31.05.2014 15:16:52

Cae hat geschrieben:Die Idee ist, dass ich auf irgendwelchen Wegen deinen Session-Cookie abgreifen kann, dieser aber ohne besonderen Aufwand fuer mich trotzdem wertlos ist. Ich find's sinnvoll.
Naja, ob ich jetzt session cookies oder session cookies+IP fälsche ist glaube ich nicht so wirklich der dicke Unterschied. Steht ja alles im gleichen paket. In meinen Augen ein ziemlich nutzloses pseudo-Security feature das eine Menge Komfortverlust verursacht. Und in einige Umgebngen (z.B. UNI-WLAN) das Forum fast total unnutzbar macht. Ich meine wir haben uns gegen hartes SSL entschieden, weil es ja irgend welche verrückten geben könnte die in einer total absurden umgebung sind, wo kein SSL geht.

Und gerade SSH ist eben keine lösung ich will nicht alle 2 meter mich erstam wieder neu in SSH einwählen und dann für jede Seite einen Tunnel bauen.
VPN ist etwas robuster und praktikabler und läuft sowieso. Aber wenns dann abbricht hab ich eben wieder ne neue IP, weil da die Adressen erstrecht dynamsich vergeben werden.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Session-IP bindung

Beitrag von novalix » 01.06.2014 16:29:55

Bei instabilen Verbindungen nutze ich gerne Debianautossh. Das hilft in Verbindung mit dem agent übers gröbste hinweg.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 01.06.2014 19:11:55

Ja, wie gesagt, das VPN hilft bei mir im Normalfall auch relativ gut. Aber eben nicht immer.
rot: Moderator wanne spricht, default: User wanne spricht.

runsnake
Beiträge: 44
Registriert: 05.02.2014 20:24:50

Re: Session-IP bindung

Beitrag von runsnake » 01.06.2014 22:02:01

Bei Mosh bricht die SSH Verbindung nicht ab:

https://packages.debian.org/wheezy/mosh

An Sonsten weis ich auch nicht.

Vielleicht mal mit einem MultipathTCP fähigen Kernel rumspielen, vielleicht lässt sich das schon verwenden.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Session-IP bindung

Beitrag von Cae » 01.06.2014 22:49:14

Nur als Hinweis: Der meiste Teil des Threads ist off-topic, weil es eigentlich um den feature request ging, das IP-Locking rauszunehmen.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 27.02.2015 01:42:08

So möchte das nochmal aufwären: Habe gerade mal wieder mal einen Längeren Beitrag dazu geschreiben:
viewtopic.php?f=12&t=154102
Diesmal von Zuhause. Aber irgend wann schlägt die Zwangstrennung zu und weg war der Beitrag.
Defakto verhindert das einfach das einfach sehr effizient das Posten von längeren (und dmit typischerweise substantiell eher hochwertigeren) Beiträgen.

Und wie schon mehrfach angemerkt: Wenn es um irgend was geht das die Sicherheit (im Gegensatz zu den dämlichen IP-Bindungen) wirklich erhöhen würde ist stöst man ja auch immer nur auf taube Ohren. (Stichwort secure cookies o.ä.)
rot: Moderator wanne spricht, default: User wanne spricht.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: Session-IP bindung

Beitrag von NAB » 27.02.2015 02:26:57

Das kurze Betätigen von Strg+A und Strg+C kann einem jede Menge Tipparbeit sparen ...
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Session-IP bindung

Beitrag von catdog2 » 27.02.2015 02:58:58

Problematisch wird's wenn die IP wechselt. Dann macht das Forum die session auf kaputt.
Kann ich nicht nachvollziehen, das Forum loggt mich nur recht selten aus (das geht über Monate und verschiedene IPs), vergisst du eventuell das Häkchen bei dauerhaft angemeldet bleiben?

Ansonsten würde ich mich nach Browser Extensions umsehen, gibt ja noch andere Möglichkeiten den Inhalt eines Browser Formularfeldes versehentlich zu vernichten…
z.B. https://addons.mozilla.org/de/firefox/a ... src=search liest sich ganz gut (ungetestet, Ergebnis einer kurzen Suche)

"Einfachste" Methode wäre natürlich längere Texte in einem Editor zu schreiben.
Unix is user-friendly; it's just picky about who its friends are.

Liffi
Beiträge: 2306
Registriert: 02.10.2004 01:33:05

Re: Session-IP bindung

Beitrag von Liffi » 27.02.2015 09:07:01

Empfehle auch Lazarus um Formulardaten wiederherzustellen. Oder den Text im Vim editieren :-).

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 27.02.2015 11:48:48

catdog2 hat geschrieben:Kann ich nicht nachvollziehen, das Forum loggt mich nur recht selten aus (das geht über Monate und verschiedene IPs), vergisst du eventuell das Häkchen bei dauerhaft angemeldet bleiben?
Ja. Genau das habe ich vergessen. Ist halt leider jedes mal wieder weg beim einloggen und mega dämlich wenn man 10k mal das Häkchen zu setzen. Meinetwegen könnte man das auch als default setzen.

Ansonsten:
  • Nein, ich benutze keinen Firefox, und habe auch keine Lust ihn zu benutzen.
  • Prinzipiell habe ich sowas wie nen cache. Nur wenn ich auf Vorschau klicke (und das noch funktioniert) funktioniert das nicht mehr, weil dann beim antworten TextArea anders heißt.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 27.02.2015 11:53:33

catdog2 hat geschrieben:Kann ich nicht nachvollziehen, das Forum loggt mich nur recht selten aus (das geht über Monate und verschiedene IPs), vergisst du eventuell das Häkchen bei dauerhaft angemeldet bleiben?
Ja. Genau das habe ich vergessen. Ist halt leider jedes mal wieder weg beim einloggen und mega dämlich wenn man 10k mal das Häkchen zu setzen. Meinetwegen könnte man das auch als default setzen. (Am besten im Profil. Aber ich denke das ist relativ schwer anzupassen.)
Oder den Text im Vim editieren
Das wirklich dumme war das ich das sogar gemacht habe (wegen der Formatierung in code tags):
Nur copy->paste>Vorschau->sieht gut aus->Editor schließen->absenden->NeueIP->Foo!


Ansonsten:
  • Nein, ich benutze keinen Firefox, und habe auch keine Lust ihn zu benutzen.
  • Prinzipiell habe ich sowas wie nen cache. Nur wenn ich auf Vorschau klicke (und das noch funktioniert) funktioniert das nicht mehr, weil dann beim antworten TextArea anders heißt.
  • Es ist und bleibt einfach ein Bug hier im Forum. (Vorteile sind praktisch inexistent.) Den ich eigentlich nicht 20 mal Clientseitig Lösen will.
    Ist ja nicht so, ich mich an anderer Stelle nicht drum gekümmert habe...
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Patsche
Beiträge: 3255
Registriert: 21.06.2013 01:47:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: /home/10001101001

Re: Session-IP bindung

Beitrag von Patsche » 27.02.2015 11:56:41

Ich kenne das Problem nur vom Handy. Ich nutze dort Firefox ohne Cookies. Leider kann man dort keine Cookies verwalten. Da gibt es nur Ja/Nein. Und von Cookie-Monster kann man dort wohl nur träumen....

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Session-IP bindung

Beitrag von catdog2 » 27.02.2015 12:00:32

Ja. Genau das habe ich vergessen. Ist halt leider jedes mal wieder weg beim einloggen und mega dämlich wenn man 10k mal das Häkchen zu setzen.
Naja das Cookie hält ja lange wenn man es einmal geschafft hat.
Meinetwegen könnte man das auch als default setzen.ft hat.
könnte man machen.
Nein, ich benutze keinen Firefox, und habe auch keine Lust ihn zu benutzen.
Hab ich gesagt, dass du den nutzen musst?
Es ist und bleibt einfach ein Bug hier im Forum. Der absolut nichts an Vorteilen bringt. (Vorteile sind praktisch inexistent.) Den ich eigentlich nicht 20 mal Clientseitig Lösen will.
Naja es ist müsig darüber zu diskutieren, das Forum bietet die Möglichkeit ein Dauercookie zu setzen, musst es nur nutzen.
Unix is user-friendly; it's just picky about who its friends are.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 27.02.2015 12:45:54

catdog2 hat geschrieben:Naja es ist müsig darüber zu diskutieren, das Forum bietet die Möglichkeit ein Dauercookie zu setzen, musst es nur nutzen.
Nein. Auch das "Dauercookie" ist beim logout weg.
rot: Moderator wanne spricht, default: User wanne spricht.

DeletedUserReAsG

Re: Session-IP bindung

Beitrag von DeletedUserReAsG » 27.02.2015 14:37:41

Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 27.02.2015 14:39:30

niemand hat geschrieben:Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.
Sowas ist einfach nur kranke Bedienung die keiner auf dauer durchhällt.
Btw: Markieren hilft eben nicht, weil dir der Fokus beim Abssenden drücken abhanden kommt und was anderes in deiner Zwischenablage liegt. Lediglich wenn man so Dinge wie klipper nutzt in denen man einen vollständigen Verlauf hat funktioniert das.

Nochmal: Ich habe absolut keine lust daruaf, tipps zu bekommen, wie ich mit Kopfstandmachen und Ohrenwackeln doch dafür sorgen kann, dass der Post nach mehreren versuchen akommt sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.
rot: Moderator wanne spricht, default: User wanne spricht.

DeletedUserReAsG

Re: Session-IP bindung

Beitrag von DeletedUserReAsG » 27.02.2015 14:43:07

Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?

Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen ….
[…] sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.
Du willst also, dass jeder, der deine Session-ID abgreift, in deinem Namen posten kann. Mag ja sein, dass du nicht der Einzige mit dem Wunsch bist – ich hege ihn allerdings auf gar keinen Fall.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: Session-IP bindung

Beitrag von catdog2 » 27.02.2015 18:18:59

Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?
Schon schlimm diese Bewegung ja, alternativ kann man auch ctrl+a, ctrl+c,end drücken.

Natürlich könnte sich die Forensoftware etwas bedienerfreundlicher verhalten und ein Login ermöglichen ohne den Post zu verwerfen aber da verweise ich dann mal auf https://www.phpbb.com/
Unix is user-friendly; it's just picky about who its friends are.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Session-IP bindung

Beitrag von wanne » 27.02.2015 18:41:35

niemand hat geschrieben:Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen
Bullshit. Wer an dein Cookie kommt, kommt auch an deine IP. (Meistens hat er sie sowieso.) Sessionhijacking wird damit nur marginal erschwert. (Weswegen ich ja auch an anderer Stelle darum gebeten habe die Cookies an TLS zu binden.) Wer dein Cookie hat, hat deine Session. Deswegen ist das zu schützen. (Was dank TLS-pinning wohl mitlerweiles sogar großteils der Fall ist.)

Das ist doch bullshit, dass irgend jemand zwar in der Lage ist TLS brechen ohne die IP auf die des absenders zu faken (Was in den letzten 15 Jahren TLS-existenz trotz massiver Forschung niemand gelungen ist.) aber dann daran scheitert nen iptables oder ethercap befehl abzusetzen der ihm die IP faked. (Und jetzt bitte nicht irgend welche Sonderfälle von dilitantisch konfigurierten Servern. Die sind für das Debianforum uninteressant.)
rot: Moderator wanne spricht, default: User wanne spricht.

DeletedUserReAsG

Re: Session-IP bindung

Beitrag von DeletedUserReAsG » 27.02.2015 18:57:36

Bullshit ist’s, dass es krank wäre, seinen Text zu markieren und Bullshit ist’s, dass es für den normalen Anwender nicht zumutbar wäre, das Häkchen beim Einloggen zu setzen.

Antworten