Session-IP bindung

[wanne]

Naja es ist müsig darüber zu diskutieren, das Forum bietet die Möglichkeit ein Dauercookie zu setzen, musst es nur nutzen.

Nein. Auch das "Dauercookie" ist beim logout weg.

[DeletedUserReAsG]

Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.

[wanne]

Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.

Sowas ist einfach nur kranke Bedienung die keiner auf dauer durchhällt.
Btw: Markieren hilft eben nicht, weil dir der Fokus beim Abssenden drücken abhanden kommt und was anderes in deiner Zwischenablage liegt. Lediglich wenn man so Dinge wie klipper nutzt in denen man einen vollständigen Verlauf hat funktioniert das.

Nochmal: Ich habe absolut keine lust daruaf, tipps zu bekommen, wie ich mit Kopfstandmachen und Ohrenwackeln doch dafür sorgen kann, dass der Post nach mehreren versuchen akommt sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.

[DeletedUserReAsG]

Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?

Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen ….

[…] sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.

Du willst also, dass jeder, der deine Session-ID abgreift, in deinem Namen posten kann. Mag ja sein, dass du nicht der Einzige mit dem Wunsch bist – ich hege ihn allerdings auf gar keinen Fall.

[catdog2]

Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?

Schon schlimm diese Bewegung ja, alternativ kann man auch ctrl+a, ctrl+c,end drücken.

Natürlich könnte sich die Forensoftware etwas bedienerfreundlicher verhalten und ein Login ermöglichen ohne den Post zu verwerfen aber da verweise ich dann mal auf https://www.phpbb.com/

[wanne]

Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen

Bullshit. Wer an dein Cookie kommt, kommt auch an deine IP. (Meistens hat er sie sowieso.) Sessionhijacking wird damit nur marginal erschwert. (Weswegen ich ja auch an anderer Stelle darum gebeten habe die Cookies an TLS zu binden.) Wer dein Cookie hat, hat deine Session. Deswegen ist das zu schützen. (Was dank TLS-pinning wohl mitlerweiles sogar großteils der Fall ist.)

Das ist doch bullshit, dass irgend jemand zwar in der Lage ist TLS brechen ohne die IP auf die des absenders zu faken (Was in den letzten 15 Jahren TLS-existenz trotz massiver Forschung niemand gelungen ist.) aber dann daran scheitert nen iptables oder ethercap befehl abzusetzen der ihm die IP faked. (Und jetzt bitte nicht irgend welche Sonderfälle von dilitantisch konfigurierten Servern. Die sind für das Debianforum uninteressant.)

[DeletedUserReAsG]

Bullshit ist’s, dass es krank wäre, seinen Text zu markieren und Bullshit ist’s, dass es für den normalen Anwender nicht zumutbar wäre, das Häkchen beim Einloggen zu setzen.