[Bug] Sessieprobleem - Geachte redactie

zaterdag 16 april 2005 03:05

Acties:

Verwijderd

Topicstarter

hallo,

Ik was eens ff mijn profiel aan t aanpassen enzo op de frontpage en daar zag ik ook een heel leuk kopje, Openstaande sessies. Ik klik dus en zie 1 sesse, nu vallen mij enkele dingen op. Ten eerste, het ip wat er staat is niet juist, het is een ip van mijn vorige provider (Introweb) maar dat heb ik al een half jaar niet meer, en de TTD vind ik wel grappig: 16-04-2006 03:01 Leeft de webserver soms in de toekomst?

Een keer opnieuw inloggen met het vinkje alle oude sessies beëindigen heeft het probleem met het IP verholpen, maar de TTD staat nu nog op 2006

[ Voor 16% gewijzigd door Verwijderd op 16-04-2005 03:08 ]

zaterdag 16 april 2005 03:08

Acties:

Robin

TTD staat voor Time To Die en geeft aan wanneer de betreffende cookie sterft (niet meer werkt). In de layout settings staat als eerste optie de levensduur van je cookies en die zullen bij jou op 1 jaar staan. Na die datum verloopt de cookie en is deze waardeloos.

zaterdag 16 april 2005 03:14

Acties:

Verwijderd

Topicstarter

Ah zo, dan sorry voor me post

Ik dacht dat dit de tijd was dat ik inlogde

[ Voor 39% gewijzigd door Verwijderd op 16-04-2005 03:15 ]

zaterdag 16 april 2005 12:41

Acties:

crisp

Devver

Pixelated

Het IP is ook het IP ten tijde van het inloggen, en die staat erbij zodat je kan zien waar je zoal ingelogt bent. Binnenkort word het ook mogelijk om een sessie te fixeren op dat IP zodat iemand die jouw sessie-id weet te kapen er niets mee kan uitspoken. De TTD kan dan ook per sessie worden ingesteld zodat je bijvoorbeeld op een publieke PC kan kiezen voor 10 minuten of een uur. Als je dan vergeet uit te loggen dan wordt je sessie na die tijd automatisch beeindigd.

Na de merge™ wordt je frontpage-sessie ook automatisch een forum-sessie; je hoeft dan nog maar 1x in te loggen voor zowel frontpage als forum

[ Voor 15% gewijzigd door crisp op 16-04-2005 12:43 ]

Intentionally left blank

zaterdag 16 april 2005 12:50

Acties:

Sendy

Eigenlijk zou je als je toch je sessie vastzet op een ip ook helemaal geen sessie(cookie) meer hoeven gebruiken. Dat moet je natuurlijk niet doen zolang je sessies nog nodig hebt voor de dynamische ip gebruikers.

Blijkt maar weer wat een slecht idee dynamische ip's en NAT is. Het zijn gewoon codeer-werk verschaffers.

zaterdag 16 april 2005 12:59

Acties:

crisp

Devver

Pixelated

Sendy schreef op zaterdag 16 april 2005 @ 12:50:
Eigenlijk zou je als je toch je sessie vastzet op een ip ook helemaal geen sessie(cookie) meer hoeven gebruiken. Dat moet je natuurlijk niet doen zolang je sessies nog nodig hebt voor de dynamische ip gebruikers.

Of voor mensen die achter een proxy of router zitten. Daarbij biedt ook voor een sessie gefixeerd op IP het sessie-id toch een extra veiligheid; sessie-id's zijn moeilijker te raden/achterhalen dan een IP alleen, en een IP is te spoofen. Zelfs op een enkele PC is het nog wel makkelijk om de sessie te linken aan een specifieke browser (meerdere gebruikers op dezelfde PC)

Intentionally left blank

zaterdag 16 april 2005 14:24

Acties:

Sendy

Je hebt helemaal gelijk dat er ook andere situaties zijn waar sessiecookies handig zijn. Waar ik nog op wil reageren is de zinsnede: "en een IP is te spoofen." Dit is weliswaar waar, maar om dit buiten je subnet te doen is zeer lastig. Vast lastiger dan een sessieid te achterhalen (er is namelijk alleen naar een netwerkscanner voor nodig). Op een subnet is het vaak zeer eenvoudig om een sessieid te achterhalen.

Maar je hebt me overtuigd dat sessieid's noodzakelijk zijn in de situatie dat er meerdere gebruikers van dezelfde computer gebruik maken (en in de situatie achter een proxy).

[ Voor 4% gewijzigd door Sendy op 16-04-2005 17:00 ]