[erledigt] Session-Timeout hier im Forum?

[Meillo]

Hoi,

wie ist denn der Session-Timeout hier im Forum eingestellt? (Vermutlich kann nur feltel diese Frage beantworten.)

Aber vielleicht haben auch andere Ahnung von phpBB:

1) Wenn ich beim Anmelden hier den Haken bei ``angemeldet bleiben'' setze, dann bin ich auf dem gleichen Rechner mit dem gleichen Browser sehr lange angemeldet. Eigentlich werde ich nur ausgeloggt, wenn der Server neu startet oder ich die Cookies loesche. Daraus wuerde ich folgern, dass der Session-Timeout auf dem Server unendlich oder sehr gross ist. Ist dsa korrekt?

2) Wenn ich nun den Haken bei ``angemeldet bleiben'' weglassen (was ich nie tue), wann werde ich dann ausgeloggt?

Was ist der Unterschied wenn ich diese Checkbox verwende? Ich wuerde das gerne technisch verstehen.

Es waere klasse, wenn mich da jemand erleuchten koennte.


meillo

[MSfree]

Was ist der Unterschied wenn ich diese Checkbox verwende?

Ohne das Setzen des Hächens wird man nach einer gewissen Zeit der Inaktivität "ausgelogt", also die gesetzten Cookies werden ungültig. Gefühlt dürfte die Inaktivitätsspanne ca. 60-90min betragen, zumindest muß ich mich z.B. nach einer längeren Mittagspause neu einloggen.

[Meillo]

Was ist der Unterschied wenn ich diese Checkbox verwende?

Ohne das Setzen des Hächens wird man nach einer gewissen Zeit der Inaktivität "ausgelogt", also die gesetzten Cookies werden ungültig. Gefühlt dürfte die Inaktivitätsspanne ca. 60-90min betragen, zumindest muß ich mich z.B. nach einer längeren Mittagspause neu einloggen.

Ach, dann wird der Session-Timeout vielleicht nur ohne Haken beruecksichtigt ... und bei ``angemeldet bleiben'' laeuft die Session ewig? ... hmm

In einem anderen phpBB-Forum werde ich immer nach gefuehlt einer Stunde ausgeloggt (Session-Timeout steht auf 1h), egal ob ich den Haken setze oder nicht. Das verstehe ich nicht. Darum meine Frage.

[schorsch_76]

Ich erinnere mich das fettel irgendwann den Session Timeout hoch gesetzt hat, da wir hauptsächlich aus der *hust* Arbeit *hust* im Forum sind

[Meillo]

Hab da noch was gefunden: viewtopic.php?f=14&t=161263

Damals wurde es auf 2h hochgesetzt.

Das wuerde dann die Theorie bestaetigen, dass beim Setzen des Hakens ``angemeldet bleiben'' der Timeout ignoriert wird ... also vielleicht kein ``expires''-Wert beim Cookie gesetzt wird? Ich kenn mich nicht so damit aus. Werde mal in Ruhe damit rumspielen und mir die Cookies angucken muessen ... wenn's nicht 'n anderer fuer mich macht.

[wanne]

Cookies laufen etwa ein Jahr. Länger kann man also nicht eingeloggt bleiben.
Ansonsten haben die Sessions auch noch ne feste IP, was für reisende extrem unangenehm ist.

[feltel]

Cookies laufen etwa ein Jahr. Länger kann man also nicht eingeloggt bleiben.
Ansonsten haben die Sessions auch noch ne feste IP, was für reisende extrem unangenehm ist.

Jain. Bei der IP werden nur die ersten drei Oktets bei der Prüfung herangezogen. Man könnte das entweder noch abschalten oder auf die ersten beiden Oktets begrenzen. Das macht es aber anfälliger für Session-Hijacking.

[Meillo]

Was ist der Unterschied wenn ich diese Checkbox verwende?

Ohne das Setzen des Hächens wird man nach einer gewissen Zeit der Inaktivität "ausgelogt", also die gesetzten Cookies werden ungültig. Gefühlt dürfte die Inaktivitätsspanne ca. 60-90min betragen, zumindest muß ich mich z.B. nach einer längeren Mittagspause neu einloggen.

Ach, dann wird der Session-Timeout vielleicht nur ohne Haken beruecksichtigt ... und bei ``angemeldet bleiben'' laeuft die Session ewig? ... hmm

Meine Tests bestaetigen diese Annahme.

- Ohne Haken werde ich nach ca. 2h ausgeloggt. Das ist der Session-Timeout, der im Forum eingestellt ist.

- Mit dem Haken bei ``angemeldet bleiben'' laeuft die Session weiter ... bis ich halt meine Cookies loesche oder der Server neu startet (diese beiden Faelle habe ich schon erlebt). Zudem gibt's wohl noch die Faelle, dass, wie wanne schreibt, die Cookies nach einem Jahr ungueltig werden, und, wie feltel schreibt, die Cookies an die ersten drei Oktets der IP-Adresse gekoppelt sind.

In einem anderen phpBB-Forum werde ich immer nach gefuehlt einer Stunde ausgeloggt (Session-Timeout steht auf 1h), egal ob ich den Haken setze oder nicht. Das verstehe ich nicht. Darum meine Frage.

In dem Fall des anderen Forums hat es daran gelegen, dass gar keine Cookies gesetzt worden sind, und die Session-ID in der URL transportiert wurde. Das ist also ein anderer Fall, der sich inzwischen dadurch geloest hat, dass nun Cookies aktiviert wurden.



Leider akzeptiert w3m (0.5.3+cvs-1.1055) keine phpBB-Cookies:

Code: Alles auswählen

This cookie was rejected to prevent security violation. [wrong number of dots]

Das hat zur Folge, dass beim Zugriff mit w3m die SID in der URL transportiert wird und man sich ziemlich oft neu einloggen muss. Die Benutzung des Forums mit w3m waere eigentlich schon unhandlich genug ... aber nun gut.



Aus meiner Sicht kann das Thema fuer erledigt betrachtet werden. Ich sehe keinen Aenderungsbedaf. Danke an alle, die etwas dazu beigetragen haben.

[feltel]

Ich hab das Thema mal nach Lob & Kritik verschoben, damit die Infos, die hier zusammengetragen und für den einen oder anderen relevant sein könnten, nicht im Smalltalk untergehen.

[eggy]

Code: Alles auswählen

This cookie was rejected to prevent security violation. [wrong number of dots]

Gehts dabei um den? https://bugs.debian.org/cgi-bin/bugrepo ... bug=385702
Ohne mir den Code im Detail angesehn zu haben: laut dem einen Beitrag dort, könnte vielleicht ne Ausnahme in check_avoid_wrong_number_of_dots_domain in cookie.c was bringen.

[wanne]

Man könnte das entweder noch abschalten oder auf die ersten beiden Oktets begrenzen. Das macht es aber anfälliger für Session-Hijacking.

Ich wäre ganz klar für abschalten: Seit Strict-Transport-Security sind passive Angriffe eh kaputt. Und wer aktiv angreift hat eh die selbe IP.
Daneben hebelt der angemeldet-bleiben Haken sowieso alles aus.
Ich gehöre ja eher zu den Sicherheitsfanatikern aber man muss auch zwischen Kosten und Nutzen abwägen: Das macht mir halt die Bequemlichkeit kaputt und bringt nur in sehr seltenen Fällen was.