phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Session-Lifetime

Thorsten Koch ml at osus.de
Mit Mar 1 16:45:23 CET 2006

Vorherige Nachricht: [php] Session-Lifetime
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Sebastian,

> > Der Benutzer allerdings behält die Session so lange, wie er 
> die Seiten 
> > anzeigt. Da kann das Telefon kommen, der Chef oder die 
> Mittagspause, 
> > vollkommen gleichgültig.
> 
> Und jeder der vorbeiläuft am leeren Arbeitsplatz kann dich 
> ein bisschen im Admin-Bereich umsehen ... oder wie?
> 
> Ein Session-Timeout sollte wirklich nur dann zurückgesetzt 
> werden wenn wirklich der Benutzer etwas macht, und nicht 
> automatisch. Erst recht in sicherheitskritischen Bereichen 
> wie ein Adminbereich.

Bei einem Administrator gehen wir doch von einem klassischen
Einzelarbeitsplatz aus. Also wird der Administrator, der ja
sicherheittechnisch sowieso sensibilisierter sein sollte, dafür Sorge
tragen müssen, dass nicht jede Putzfrau, die vorbei kommt, sich am
Rechner zuschaffen machen kann. Der Administrator ist diese Arbeitsweise
gewohnt und demnach geschult.
Außerdem könnte, falls der Arbeitsplatz nicht gesperrt wird, sich
sowieso jeder an den Offline-Applikationen zuschaffen machen, die auch
keine Sessions haben und nicht ablaufen. Da ist das völlig egal, ob das
Browser-Fenster hinter nem offenen anderen Fenster verschwunden ist. 

Ich denke dass man sehr wohl die Session offen lassen kann, ohne dass
der Benutzer etwas macht. Er könnte ja parallel gerade in einer anderen
Applikation etwas nachschauen und hat kein Bock sich alle 90 Sekunden
neu an der Anwendung anmelden zu müssen.
Man kann natürlich einen "Kompromiss" eingehen und sagen, dass dieser
iFrame die Session nur 10 Minuten offen hält und die Session dann
zerstört wird. 
Oder noch anders... Die Session wird nicht zerstört, sondern nur ein
Flag gesetzt, dass eine neue Authentifizierung notwendig wird. So
bleiben evtl. Informationen in der Session vorhanden, die der
Administrator für seine Arbeit braucht und nach der Anmeldung nicht
nocheinmal erzeugen will.

Aber wie und in welchem Maße man diese Technik nun um- und einsetzt
bleibt dem Anwendungs-Architekten bzw. dem Kunden überlassen. Ich wollte
nur die Möglichkeit dafür aufzeigen, wie man soetwas realisieren kann,
was mehr auf den Benutzer reagiert, denn wenn der das Fenster zu macht
(ohne sich auszuloggen), dann ist die Session innerhalb von einer
kürzeren Zeit futsch und ggf. Session-Hijacking schneller unmöglich, als
bei anderen Varianten. 

Aber jetzt trifte auch ich ab in ein anderes Thema.... Achja, danke
Norbert für Deine Unterstützung :)




Mit freundlichen Grüßen aus Stuttgart

Thorsten Koch

Vorherige Nachricht: [php] Session-Lifetime
Nächste Nachricht: [php] Session-Lifetime
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive