Ankündigung

Einklappen
Keine Ankündigung bisher.

Login klappt nur Dank "eingeloggt bleiben" Funktion

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Login klappt nur Dank "eingeloggt bleiben" Funktion

    Servus!

    Kann es sein, dass hier Session-Daten mit IP-Adresse "abgesichert" werden?
    D.h. beim nächsten Request wird geguckt, ob meine IP-Adresse immer noch so ist wie beim Request davor?

    Zumindest fliege ich nach jedem Login ziemlich schnell wieder raus. Meistens schon beim ersten Klick nach Login.
    Es sei denn, ich setze einen Haken bei "eingeloggt bleiben" - dann werde ich wahrscheinlich bei jedem neuen Seitenaufruf neu eingeloggt...


  • #2
    Ein Haken bei Eingeloggt bleiben bewirkt das Setzen eines Cookie.
    Wenn Du das nicht anhakst, aber eingelogged bleiben willst, woran würdest Du denken, versucht sich das System zu orientieren?
    Competence-Center -> Enjoy the Informatrix
    PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

    Kommentar


    • #3
      Na ja, ich würde denken, dass sich das System an der Session orientiert.
      Der Punkt ist, dass zwischen den 2 Requests wenige Sekunden liegen. Für längere Zeiträume macht der Cookie ja Sinn...

      Ich komme auf die Seite, logge mich ein. Oben rechts sehe ich auch, dass ich eingeloggt bin.
      Beim nächsten Klick eine Sekunde später (z.B. auf irgendein Thema) bin ich nicht mehr bekannt/authentifiziert.
      Das kann ich nur umgehen, indem ich die "eingeloggt bleiben" Funktionalität verwende.
      Ich gehe davon aus, dass ich bei jedem Page-Request über die Authentifizierung laufe (neu eingeloggt werde), und ohne Cookie würde ich sofort wieder rausfliegen.

      Wenn ich im Büro bin, hab ich wechselnde IP-Adressen (2)...
      Privat hab ich das Problem nicht.



      Kommentar


      • #4
        Könnte auch durchaus an Sicherheitseinstellungen auf Firmenseite liegen.
        Vermutlich ist die Session nach einem Request nicht mehr bekannt. Da müsstest Du mal die Admins fragen, obwohl ich nicht weiß, ob Du im Büro diese Seite überhaupt öffnen sollst
        Competence-Center -> Enjoy the Informatrix
        PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

        Kommentar


        • #5
          ohne Cookie wird das mit der Session aber auch schwer ...

          HTTP ist ein Zustandsloses Protokoll:

          Request (Abruf einer Webseite) -> Webserver spawned Child-Process -> sendet Webseite zum Client (webbrowser) -> child process beendet .. Deckel drauf ,

          das heißt nach dem erfüllen des Requests weiss der Webserver main-process nicht mehr, dass es den Request überhaupt gab - mal abgesehen von Log-Einträgen.

          Wenn du in einem solchen Protokoll eine Sitzung haben willst, die mehrere Requests umfasst, brauchst du Daten anhand derer der Webserver erkennen kann, dass du zu einer bekannten, offenen Sizung gehörst - im Regelfall wird dies durch ein Session-Cookie ermöglicht.

          Wenn du "eingeloggt bleiben" nicht aktivierst, passiert dies eben nicht und du fliegst eben wieder raus.
          "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste [IMG]http://www.php.de/core/images/smilies/icon_lol.gif[/IMG]

          Kommentar


          • #6
            Mein Verdacht ist, dass die Foren-Software versucht, Session Hijacking zu unterbinden, indem u.a. meine IP berücksichtigt wird.
            Sobald die IP aus der Session mit meiner derzeitigen IP nicht übereinstimmt, wird die Session platt gemacht.
            Kann das sein?

            So zumindest meine Erfahrung mit manch anderem Forum und oft leider gängige Praxis. Das sperrt dann viele User aus...

            Na ja, der Cookie rettet mich ja zum Glück jedes Mal.

            Kommentar


            • #7
              Selbst ohne deine "Maßnahme gegen Hijacking" - wie soll dich die Forensoftware wieder erkennen, wenn sich wie du sagst deine IP-Adresse potenziell bei jeder angefragten Webseite ändert ?

              "Irren ist männlich", sprach der Igel und stieg von der Drahtbürste [IMG]http://www.php.de/core/images/smilies/icon_lol.gif[/IMG]

              Kommentar


              • #8
                Zitat von eagle275 Beitrag anzeigen
                Selbst ohne deine "Maßnahme gegen Hijacking" - wie soll dich die Forensoftware wieder erkennen, wenn sich wie du sagst deine IP-Adresse potenziell bei jeder angefragten Webseite ändert ?
                Ich hoffe doch nicht, dass die IP ein Erkennungsmerkmal ist, da sich ja viele User eine IP teilen könnten sowie ein User auch mehrere IPs haben kann.

                In der Regel wird die Session-ID im Cookie mitgeführt und das reicht auch in 99,9999% aller Fälle zur Identifikation aus.

                Deprecated Schau dir mal die HTTP-Requests/Responses an. Wenn der Browser die richtige Session-ID mitschickt, aber der Server eine neue Session-ID zurück schickt, dann ist das Problem wohl die Foren-Software oder der Webserver. Das gilt natürlich nur, wenn kein (transparenter) Proxy dazwischen ist, der den Request/Response manipulieren könnte.

                Kommentar


                • #9
                  Zitat von hellbringer Beitrag anzeigen
                  Deprecated Schau dir mal die HTTP-Requests/Responses an. Wenn der Browser die richtige Session-ID mitschickt, aber der Server eine neue Session-ID zurück schickt, dann ist das Problem wohl die Foren-Software oder der Webserver. Das gilt natürlich nur, wenn kein (transparenter) Proxy dazwischen ist, der den Request/Response manipulieren könnte.
                  Danke! Der Server schickt immer die gleiche Session-ID. Keine Ahnung was es ist, aber wohl schon mal nicht das was ich gedacht habe.
                  Da sich auch sonst niemand gemeldet hat, wird das Problem wahrscheinlich eher auf "meiner" (Firmen) Seite liegen. Na ja, mit Cookie geht es ja, und von Zuhause sowieso.

                  Kommentar

                  Lädt...
                  X