Mailinglisten-Archive |
Norbert Pfeiffer wrote: >>>> in einem Adminbereich sollte man vom Anwender eigentlich ein >>>> zuegiges Arbeiten erwarten koennen, rein IMHO. >>>> >>>> D.h. nach 77 Sekunden Untaetigkeit kann die Session doch >>>> eigentlich in den Muelleimer ? Was meint Ihr, waere das >>>> deutlich zu grosszuegig bemessen oder soll ich ihm ganze >>>> 99 Sekunden gewaehren ? >>> >>> Weder noch. :) >>> >>> Wir machen das folgendermaßen: >>> Ein versteckter iframe lädt sich alle x Sekunden neu und hält die >>> Session "alive". Nun muß Deine Session einfach eine Ablaufdauer > x >>> haben. Hat der Benutzer die Seiten verlassen, so wird die Session nach >>> der Ablaufdauer ungültig. >>> Der Benutzer allerdings behält die Session so lange, wie er die Seiten >>> anzeigt. Da kann das Telefon kommen, der Chef oder die Mittagspause, >>> vollkommen gleichgültig. >> >> Und jeder der vorbeiläuft am leeren Arbeitsplatz kann dich ein bisschen >> im Admin-Bereich umsehen ... oder wie? >> >> Ein Session-Timeout sollte wirklich nur dann zurückgesetzt werden wenn >> wirklich der Benutzer etwas macht, und nicht automatisch. Erst recht in >> sicherheitskritischen Bereichen wie ein Adminbereich. > > wenn jemand seinen Safe offenstehen laesst, wenn er nur mal > schnell Pipi machen geht, wird zu recht als grob fahrlaessiger > Kunde behandelt. Wer eine gueltige Session in einem Sicherheits- > bereich offen haelt, obwohl er seinen Arbeitsplatz verlaesst ist > ebenfalls grob fahrlaessig. Blöder Vergleich, außer du kannst den offenen Safe aus versehen hinter einem Offenen Fenster verstecken ... Banken sind auch ganz schön blöd ihre Sitzungen ablaufen zu lassen, die machen das bestimmt auch nur aufgrund der Unfähigkeit ihrer Programmierer die nicht auf die tolle Idee eines IFRames, HTML-RPC-Aufrufs, JavaScript-refreshs oder sonst irgendeiner für diese Zwecke zu missbrauchenden Funktion kommen. Du stellst dich doch sonst immer auf die Seite der Kunden, und der würde doch immer den Anbieter anschnauzen wenn unberechtigte Zugriff nehmen, egal ob er daran schuld ist oder nicht - was ihm dann auch noch erst mal nachzuweisen wäre. -- Sebastian Mendel www.sebastianmendel.de www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet
php::bar PHP Wiki - Listenarchive