Nein. Auch das "Dauercookie" ist beim logout weg.catdog2 hat geschrieben:Naja es ist müsig darüber zu diskutieren, das Forum bietet die Möglichkeit ein Dauercookie zu setzen, musst es nur nutzen.
Session-IP bindung
Re: Session-IP bindung
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.
Re: Session-IP bindung
Sowas ist einfach nur kranke Bedienung die keiner auf dauer durchhällt.niemand hat geschrieben:Den Text einmal markieren – mehr muss man unter ’nem nicht zu vebastelten System nicht tun, um ihn ins Clipboard zu schicken.
Btw: Markieren hilft eben nicht, weil dir der Fokus beim Abssenden drücken abhanden kommt und was anderes in deiner Zwischenablage liegt. Lediglich wenn man so Dinge wie klipper nutzt in denen man einen vollständigen Verlauf hat funktioniert das.
Nochmal: Ich habe absolut keine lust daruaf, tipps zu bekommen, wie ich mit Kopfstandmachen und Ohrenwackeln doch dafür sorgen kann, dass der Post nach mehreren versuchen akommt sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?
Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen ….
Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen ….
Du willst also, dass jeder, der deine Session-ID abgreift, in deinem Namen posten kann. Mag ja sein, dass du nicht der Einzige mit dem Wunsch bist – ich hege ihn allerdings auf gar keinen Fall.[…] sondern ich will, dass absenden passiert, wenn ich auf "Absenden" drücke. Egal ob ich jetzt mit meinem Handy Laptop oder PC surfe. Das ist keine große Anforderung und ich bin bei weitem nicht der einzige, der diesen Wunsch hat.
Re: Session-IP bindung
Schon schlimm diese Bewegung ja, alternativ kann man auch ctrl+a, ctrl+c,end drücken.Hmm … Maustaste drücken, nach oben ziehen und Maustaste loslassen ist krank? Mache ich bei längeren Beiträgen nahezu automatisch – die Angewohnheit kommt noch aus der Zeit instabiler Inet-Verbindungen. Sollte ich deswegen zum Arzt?
Natürlich könnte sich die Forensoftware etwas bedienerfreundlicher verhalten und ein Login ermöglichen ohne den Post zu verwerfen aber da verweise ich dann mal auf https://www.phpbb.com/
Unix is user-friendly; it's just picky about who its friends are.
Re: Session-IP bindung
Bullshit. Wer an dein Cookie kommt, kommt auch an deine IP. (Meistens hat er sie sowieso.) Sessionhijacking wird damit nur marginal erschwert. (Weswegen ich ja auch an anderer Stelle darum gebeten habe die Cookies an TLS zu binden.) Wer dein Cookie hat, hat deine Session. Deswegen ist das zu schützen. (Was dank TLS-pinning wohl mitlerweiles sogar großteils der Fall ist.)niemand hat geschrieben:Krank würde ich es hingegen finden, eine explizite Einzelsession (entsprechendes Cookie nicht gesetzt) über IP-Wechsel zu erlauben. Das würde ja geradezu nach Sessionhijacking rufen
Das ist doch bullshit, dass irgend jemand zwar in der Lage ist TLS brechen ohne die IP auf die des absenders zu faken (Was in den letzten 15 Jahren TLS-existenz trotz massiver Forschung niemand gelungen ist.) aber dann daran scheitert nen iptables oder ethercap befehl abzusetzen der ihm die IP faked. (Und jetzt bitte nicht irgend welche Sonderfälle von dilitantisch konfigurierten Servern. Die sind für das Debianforum uninteressant.)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Session-IP bindung
Bullshit ist’s, dass es krank wäre, seinen Text zu markieren und Bullshit ist’s, dass es für den normalen Anwender nicht zumutbar wäre, das Häkchen beim Einloggen zu setzen.