Moin

Tach!

• Maximale Geltungsdauer 60 Minuten
• GarbageCollector angepasst

Hast du auch bedacht, den session_save_path in ein separates Verzeichnis zu verbiegen, nicht dass dir andere Anwendungen mit ihren Einstellungen die Sessions löschen. Beispielsweise ist der Default-Wert für die Session-Dauer 24 Minuten. Die anderen räumen dir sonst die Daten eher weg.

Oha, das habe ich nicht bedacht. Danke. Die Zeit von 24 Minuten hatte ich umgestellt über iniset und den ganzen GC-Parametern

Und warum nimmst du solch einen hohen Wert von 60 Minuten? Oder meinst du gar nicht einen Inaktivitätszähler, sondern die Zeit seit dem ersten Start?

Ich möchte das ein User nach 60 Minuten inaktivität automatisch ausgeloggt wird.

• SANITY-KEY eingeführt

Was verstehst du darunter?

Ein eindeutiger Schlüssel der verglichen wird aus verscheidenen Parametern.

• session_regenerate_id() integriert
  Allerdings beim letzten Punkt gibt es Schwierigkeiten. Ich habe den optionalen Parameter nicht auf TRUE gesetzt, da es einige probleme damit gab. Wenn man beispielsweise eine Webseite mit dem gesetzten Parameter in 2 Tabs öffnet oder einen Link 2 mal kurz hintereinander klickt, wurde die alte Session nicht mehr erkannt, da diese jedes mal regeneriert wurde.

Was genau willst du eigentlich erreichen? Willst du, dass man sich nur vorwärts in Einzelschritten durch eine Prozedur bewegen kann? Dann ist es sinnvoll, das Holzbrett hinter sich wegzunehmen und nach vorn zu versetzen und das bei jedem Schritt *). Aber du willst anscheinend dem User ein mehrfaches Angemeldetsein erlauben. Das beißt sich dann mit der Einzelschrittidee. session_regenerate_id() ist dann kontraproduktiv und erhöht auch nicht die Sicherheit bei dieser nicht ganz so strengen Anforderung. Das Doppelklicken jedenfalls könnte man mit ein wenig Javascript unterbinden.

ich möchte SESSION-HiJacking verhindern. DAs heißt das eine ID niemals für 2 Aufrufe gleichzeitig gelten soll. sondern bei jedem Aufruf regeneriert werden soll, damit, wenn ein potentieller Angreifer die ID in die Hände bekommt, diese ungültig ist, da eine neue gesetzt wurde. Dazu gehört natürlich auch das Löschen der altem temporären Session-DAten auf dem Server. Dies ist natürlich auch das problem bei 2 Tabs offen oder schnell hintereinander ausgeführten HTTP-Requests ohne auf die Antwort zu warten.

Gibt es eine andere Lösung um vielleicht den Parameter bei session_regenerate_id() auf true setzen und es funktioniert wie gewünscht ?

Hast du einen guten Grund für diesen Aufwand, der sich nicht mit der Erlaubnis eines zweiten Tabs beißt?

Verhinderung von SESSION-HiJacking

Gruß Bobby