phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Session-Lifetime

Sebastian Mendel lists at sebastianmendel.de
Die Feb 28 14:59:42 CET 2006

Vorherige Nachricht: [php] Session-Lifetime
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Thorsten Koch schrieb:
> Hallo Norbert,
> 
>> in einem Adminbereich sollte man vom Anwender eigentlich ein 
>> zuegiges Arbeiten erwarten koennen, rein IMHO.
>>
>> D.h. nach 77 Sekunden Untaetigkeit kann die Session doch 
>> eigentlich in den Muelleimer ? Was meint Ihr, waere das 
>> deutlich zu grosszuegig bemessen oder soll ich ihm ganze
>> 99 Sekunden gewaehren ?
> 
> Weder noch. :)
> 
> Wir machen das folgendermaßen:
> Ein versteckter iframe lädt sich alle x Sekunden neu und hält die
> Session "alive". Nun muß Deine Session einfach eine Ablaufdauer > x
> haben. Hat der Benutzer die Seiten verlassen, so wird die Session nach
> der Ablaufdauer ungültig. 
> Der Benutzer allerdings behält die Session so lange, wie er die Seiten
> anzeigt. Da kann das Telefon kommen, der Chef oder die Mittagspause,
> vollkommen gleichgültig.

Und jeder der vorbeiläuft am leeren Arbeitsplatz kann dich ein bisschen 
im Admin-Bereich umsehen ... oder wie?

Ein Session-Timeout sollte wirklich nur dann zurückgesetzt werden wenn 
wirklich der Benutzer etwas macht, und nicht automatisch. Erst recht in 
sicherheitskritischen Bereichen wie ein Adminbereich.


-- 
Sebastian

Vorherige Nachricht: [php] Session-Lifetime
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive