phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Session-Lifetime

Sebastian Mendel lists at sebastianmendel.de
Mit Mar 1 08:39:49 CET 2006

Vorherige Nachricht: [php] Session-Lifetime
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Norbert Pfeiffer wrote:

>>>> in einem Adminbereich sollte man vom Anwender eigentlich ein 
>>>> zuegiges Arbeiten erwarten koennen, rein IMHO.
>>>>
>>>> D.h. nach 77 Sekunden Untaetigkeit kann die Session doch 
>>>> eigentlich in den Muelleimer ? Was meint Ihr, waere das 
>>>> deutlich zu grosszuegig bemessen oder soll ich ihm ganze
>>>> 99 Sekunden gewaehren ?
>>> 
>>> Weder noch.  :) 
>>> 
>>> Wir machen das folgendermaßen:
>>> Ein versteckter iframe lädt sich alle x Sekunden neu und hält die
>>> Session "alive". Nun muß Deine Session einfach eine Ablaufdauer > x
>>> haben. Hat der Benutzer die Seiten verlassen, so wird die Session nach
>>> der Ablaufdauer ungültig. 
>>> Der Benutzer allerdings behält die Session so lange, wie er die Seiten
>>> anzeigt. Da kann das Telefon kommen, der Chef oder die Mittagspause,
>>> vollkommen gleichgültig.
>> 
>> Und jeder der vorbeiläuft am leeren Arbeitsplatz kann dich ein bisschen 
>> im Admin-Bereich umsehen ... oder wie?
>> 
>> Ein Session-Timeout sollte wirklich nur dann zurückgesetzt werden wenn 
>> wirklich der Benutzer etwas macht, und nicht automatisch. Erst recht in 
>> sicherheitskritischen Bereichen wie ein Adminbereich.
> 
> wenn jemand seinen Safe offenstehen laesst, wenn er nur mal
> schnell Pipi machen geht, wird zu recht als grob fahrlaessiger
> Kunde behandelt. Wer eine gueltige Session in einem Sicherheits-
> bereich offen haelt, obwohl er seinen Arbeitsplatz verlaesst ist
> ebenfalls grob fahrlaessig.

Blöder Vergleich, außer du kannst den offenen Safe aus versehen hinter 
einem Offenen Fenster verstecken ...

Banken sind auch ganz schön blöd ihre Sitzungen ablaufen zu lassen, die 
machen das bestimmt auch nur aufgrund der Unfähigkeit ihrer 
Programmierer die nicht auf die tolle Idee eines IFRames, 
HTML-RPC-Aufrufs, JavaScript-refreshs oder sonst irgendeiner für diese 
Zwecke zu missbrauchenden Funktion kommen.

Du stellst dich doch sonst immer auf die Seite der Kunden, und der würde 
doch immer den Anbieter anschnauzen wenn unberechtigte Zugriff nehmen, 
egal ob er daran schuld ist oder nicht - was ihm dann auch noch erst mal 
nachzuweisen wäre.

-- 
Sebastian Mendel

www.sebastianmendel.de
www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet

Vorherige Nachricht: [php] Session-Lifetime
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive