On wenn mann abgemeldet ist?

[Wolfgang]

mit dem klick auf abmelden wird dem browser nur eine aenderung im cookie uebergeben...

somit ist man zwar wenn man die site erneut aufruft nicht angemeldet, steht aber trotzdem als online in der liste wenn die abmeldung noch keine 15 minuten zurueckliegt

das ist normal und bei jeder groesseren site so...

-----

denn....

wozu etwas das sowieso ganz von selbst nach 15 minuten ungueltig wird und KEINER missbrauchen kann serverseitig behandeln ?
eine session serverseitig auf ungueltig zu setzen oder zu loeschen waere ganz klar ressourcenverschwendung


missbrauch ist erst dann moeglich wenn...
der passende gueltige cookie vorhanden UND session-id bekannt
der cookie wird durch die abmeldung unpassend / ungueltig und mit der session-id allein kann man gar nix :P

hoffe dass nun jeder verstanden hat warum das so ist

[Wolfgang]

mit dem klick auf abmelden wird dem browser nur eine aenderung im cookie uebergeben...

somit ist man zwar wenn man die site erneut aufruft nicht angemeldet, steht aber trotzdem als online in der liste wenn die abmeldung noch keine 15 minuten zurueckliegt

das ist normal und bei jeder groesseren site so...

-----

denn....

wozu etwas das sowieso ganz von selbst nach 15 minuten ungueltig wird und KEINER missbrauchen kann serverseitig behandeln ?
eine session serverseitig auf ungueltig zu setzen oder zu loeschen waere ganz klar ressourcenverschwendung


missbrauch ist erst dann moeglich wenn...
der passende gueltige cookie vorhanden UND session-id bekannt
der cookie wird durch die abmeldung unpassend / ungueltig und mit der session-id allein kann man gar nix :P

hoffe dass nun jeder verstanden hat warum das so ist

[diaper:in:space]

Nein, ich hab das mit der Resourcenverschwendung nicht verstanden. Der Aufwand, eine Session serverseitig freizugeben, ist ja jetzt nicht so groß. Und dadurch werden doch eher Resourcen frei, also Speicherplatz. Das ist doch eigentlich eher übliche Praxis.

Im speziellen hat der User ja, so wie ich das verstanden habe, gemeint, dass er in der Onlineliste unten auf der Seite nicht mehr als Online gelistet ist, im Onlineicon in seinem Beitrag aber schon. Das passt dann ja überhaupt nicht zu der nicht gelöschten Session.

Im übrigen liegt das Session Timeout nicht bei einer Viertelstunde, sondern etwa bei zwei Stunden. Denn so lange etwa bleiben Beiträge ungelesen, wenn man zwischenzeitlich nicht im Forum liest. Bei so einem langen Timeout macht es umso mehr Sinn, die Session auch serverseitig zu löschen.

Ich tippe eher auf einen kleineren Bug in der Forensoftware, aber nichts Schlimmes. Aber es ist klar, dass das kein Sicherheitsrisiko ist.

[diaper:in:space]

Nein, ich hab das mit der Resourcenverschwendung nicht verstanden. Der Aufwand, eine Session serverseitig freizugeben, ist ja jetzt nicht so groß. Und dadurch werden doch eher Resourcen frei, also Speicherplatz. Das ist doch eigentlich eher übliche Praxis.

Im speziellen hat der User ja, so wie ich das verstanden habe, gemeint, dass er in der Onlineliste unten auf der Seite nicht mehr als Online gelistet ist, im Onlineicon in seinem Beitrag aber schon. Das passt dann ja überhaupt nicht zu der nicht gelöschten Session.

Im übrigen liegt das Session Timeout nicht bei einer Viertelstunde, sondern etwa bei zwei Stunden. Denn so lange etwa bleiben Beiträge ungelesen, wenn man zwischenzeitlich nicht im Forum liest. Bei so einem langen Timeout macht es umso mehr Sinn, die Session auch serverseitig zu löschen.

Ich tippe eher auf einen kleineren Bug in der Forensoftware, aber nichts Schlimmes. Aber es ist klar, dass das kein Sicherheitsrisiko ist.

[diaper:in:space]

Nein, ich hab das mit der Resourcenverschwendung nicht verstanden. Der Aufwand, eine Session serverseitig freizugeben, ist ja jetzt nicht so groß. Und dadurch werden doch eher Resourcen frei, also Speicherplatz. Das ist doch eigentlich eher übliche Praxis.

Im speziellen hat der User ja, so wie ich das verstanden habe, gemeint, dass er in der Onlineliste unten auf der Seite nicht mehr als Online gelistet ist, im Onlineicon in seinem Beitrag aber schon. Das passt dann ja überhaupt nicht zu der nicht gelöschten Session.

Im übrigen liegt das Session Timeout nicht bei einer Viertelstunde, sondern etwa bei zwei Stunden. Denn so lange etwa bleiben Beiträge ungelesen, wenn man zwischenzeitlich nicht im Forum liest. Bei so einem langen Timeout macht es umso mehr Sinn, die Session auch serverseitig zu löschen.

Ich tippe eher auf einen kleineren Bug in der Forensoftware, aber nichts Schlimmes. Aber es ist klar, dass das kein Sicherheitsrisiko ist.

[eule]

Ich verweise für weitere Diskusion auf das Hilfeforum von Woltlab.

[eule]

Ich verweise für weitere Diskusion auf das Hilfeforum von Woltlab.

[eule]

Ich verweise für weitere Diskusion auf das Hilfeforum von Woltlab.

[Wolfgang]

speicher ist mehr als genug da...
der will auch ausgelastet werden...
nicht genutzter speicher ist schlechter speicher :P

online und neue nachrichten seit letztem besuch wird unterschiedlich gehandhabt... fuer zweiteres wird session und ein zeitspempel genutzt... fuer ersteres nur die session

[Wolfgang]

speicher ist mehr als genug da...
der will auch ausgelastet werden...
nicht genutzter speicher ist schlechter speicher :P

online und neue nachrichten seit letztem besuch wird unterschiedlich gehandhabt... fuer zweiteres wird session und ein zeitspempel genutzt... fuer ersteres nur die session

[Wolfgang]

speicher ist mehr als genug da...
der will auch ausgelastet werden...
nicht genutzter speicher ist schlechter speicher :P

online und neue nachrichten seit letztem besuch wird unterschiedlich gehandhabt... fuer zweiteres wird session und ein zeitspempel genutzt... fuer ersteres nur die session

[diaper:in:space]

Original von Wolfgang
online und neue nachrichten seit letztem besuch wird unterschiedlich gehandhabt... fuer zweiteres wird session und ein zeitspempel genutzt... fuer ersteres nur die session

Das ist klar. Aber wenn die Nachrichten, die mir bei meinem Besuch der Seite fast zwei Stunden vorher als ungelesen markiert waren, immer noch nicht als gelesen markiert sind, ist es auch klar, dass die Session noch gültig ist. Denn nach mehr als zwei Stunden werden sie mir als gelesen angezeigt, und es wird nur noch der Zeitstempel verwendet. Also ist eine Session etwa zwei Stunden gültig, denn der Server merkt sich etwa zwei Stunden lang, welche Nachrichten ich im einzelnen schon gelesen habe und welche noch nicht. Außer ich logge mich aus, dann wird beim nächsten Login nur der Zeitstempel verwendet.

[diaper:in:space]

Original von Wolfgang
online und neue nachrichten seit letztem besuch wird unterschiedlich gehandhabt... fuer zweiteres wird session und ein zeitspempel genutzt... fuer ersteres nur die session

Das ist klar. Aber wenn die Nachrichten, die mir bei meinem Besuch der Seite fast zwei Stunden vorher als ungelesen markiert waren, immer noch nicht als gelesen markiert sind, ist es auch klar, dass die Session noch gültig ist. Denn nach mehr als zwei Stunden werden sie mir als gelesen angezeigt, und es wird nur noch der Zeitstempel verwendet. Also ist eine Session etwa zwei Stunden gültig, denn der Server merkt sich etwa zwei Stunden lang, welche Nachrichten ich im einzelnen schon gelesen habe und welche noch nicht. Außer ich logge mich aus, dann wird beim nächsten Login nur der Zeitstempel verwendet.

[diaper:in:space]

Original von Wolfgang
online und neue nachrichten seit letztem besuch wird unterschiedlich gehandhabt... fuer zweiteres wird session und ein zeitspempel genutzt... fuer ersteres nur die session

Das ist klar. Aber wenn die Nachrichten, die mir bei meinem Besuch der Seite fast zwei Stunden vorher als ungelesen markiert waren, immer noch nicht als gelesen markiert sind, ist es auch klar, dass die Session noch gültig ist. Denn nach mehr als zwei Stunden werden sie mir als gelesen angezeigt, und es wird nur noch der Zeitstempel verwendet. Also ist eine Session etwa zwei Stunden gültig, denn der Server merkt sich etwa zwei Stunden lang, welche Nachrichten ich im einzelnen schon gelesen habe und welche noch nicht. Außer ich logge mich aus, dann wird beim nächsten Login nur der Zeitstempel verwendet.

[Wolfgang]

eine session kann fuer mehrere funktionen genutzt werden

in der wbc:
letzte aktion vor mehr als 900 sec. --> user nicht mehr als online markieren
letzte aktion vor mehr als 6000 sec. (1h 40min) --> alle posts als gelesen markieren und session verwerfen

[Wolfgang]

eine session kann fuer mehrere funktionen genutzt werden

in der wbc:
letzte aktion vor mehr als 900 sec. --> user nicht mehr als online markieren
letzte aktion vor mehr als 6000 sec. (1h 40min) --> alle posts als gelesen markieren und session verwerfen

[Wolfgang]

eine session kann fuer mehrere funktionen genutzt werden

in der wbc:
letzte aktion vor mehr als 900 sec. --> user nicht mehr als online markieren
letzte aktion vor mehr als 6000 sec. (1h 40min) --> alle posts als gelesen markieren und session verwerfen