[Lastpass] Sessies verlopen op alle apparaten - Stoute bugs

donderdag 25 april 2024 09:47

Acties:

0 Henk 'm!

Topicstarter

Zoals vermeld in de titel; het lijkt er op dat sinds enkele dagen Tweakers geen sessies meer onthoud voor een langere tijd - lees meer dan een dag. Ik heb normaliter 3 devices continue ingelogd (thuis-PC, werk-PC en telefoon); de afgelopen dagen mag ik telkens overal opnieuw inloggen. Bij het inloggen vink ik niets aan in de trend van 'alle sessies beeindigen' oid. Two-factor auth staat wel aan.

Ben ik de enige met last hiervan?

Vermeld de URL waar het probleem zich bevindt
- Geheel tweakers.net

Geef aan welke stappen je uitvoert om het probleem te kunnen reproduceren
- Login (met 2FA aan) op 3 verschillende devices

Beschrijf wat je zou verwachten als het probleem zich niet voordeed
- Dat ik ingelogd blijf totdat ik dat uitlog

Indien relevant, voeg een screenshot toe
-Lijkt me niet relevant

Vermeld welk apparaat en browser je gebruikt
- Chrome, op 2 verschillende Windows PCs en Chrome op iOS, op verschillende netwerken.

vrijdag 26 april 2024 07:32

Acties:

+1 Henk 'm!

ACM

Software Architect

Werkt hier

Je bent blijkbaar een van de weinigen of zelfs de enige. Ik neem aan dat je tijdens inloggen niet bij de inlogopties kiest voor een levensduur van 5 minuten? Je zou de inlogopties voor de zekerheid kunnen uitklappen om te kijken dat die op de standaard "1 jaar" staat, wie weet past een browserextensie daar iets aan.
Een andere optie waardoor je steeds uit kan loggen is als je het vergrendelt aan je ip en je dan een ander ip hebt de eerstvolgende keer dat je langskomt.

Verder is er een paar dagen geleden wat functionaliteit weggehaald rond sessies die als het goed is niet meer nodig was.

Kan je controleren hoeveel cookies je met de naam __Secure-TnetID hebt? Als dat er meer dan 1 is, dan gaat het daar mis (en dat zou ook niet voor mogen komen). Die moet bovendien op het domein '.tweakers.net' (dus met . vooraan) staan. Als je er meerdere hebt, verwijder dan alle die niet dat domein hebben.

Wat voor Expires of max-age tijd hebben je cookies? Er zouden meerdere moeten zijn met een maximale levensduur van ergens in 2025, waaronder __Secure-TnetID.

Als __Secure-TnetID een kortere levensduur heeft (of "Session"), dan heb je ofwel voor 5 minuten gekozen ofwel past je browser of een extentie die levensduur aan.

Je kan de cookies in Chrome vinden in de "Developer tools" (onder More tools in het menu of via ctrl+shift+i) en daarin weer in het Applications-paneel.

[ Voor 5% gewijzigd door ACM op 26-04-2024 07:34 ]

vrijdag 26 april 2024 08:41

Acties:

0 Henk 'm!

ufear

Topicstarter

De levensduur staat inderdaad op een jaar; ik log dus standaard in op 3 plekken; 1 daarvan mijn thuis-PC (met IP A); 1 daarvan mijn werk-RDP (met IP B); en 1 daarvan mijn telefoon (met dus vaak IP A, soms IP C/D/E/F als ik naar buiten loop). Verder delen mijn thuis-PC en de telefoon e.e.a. via normale Chrome functionaliteit - maar zeker geen sessies - de werk-RDP is sowieso compleet geisoleerd van de rest.

Nu is het wel zo dat mijn werk-RDP deze week veranderd is van IP; maar dat is slechts eenmalig geweest; en wordt de sessie bij het inloggen aangemaakt zonder vergrendeling. Qua timing valt dat waarschijnlijk ongeveer gelijk met jullie sessie-changes. Daarnaast staat overigens voor die setup nu wel een vrij heftige firewall dingen te filteren; dus ik kan niet uitsluiten dat daar iets geks gebeurd; maar dat zou dan alsnog geen invloed moeten mogen hebben op de twee andere clients lijkt me. Thuis op het netwerk trouwens ook allerlei blacklisting van ads/spam-IPs; maar dat zou volgens mij er ook niet voor moeten zorgen dat er opeens cookies verlopen/weggegooid worden.

Ik heb precies 1 Secure-TnetID cookie en die lijkt goed ingesteld te staan; (2025-05-30 - gek trouwens; dat lijken me 400 dagen ipv 365 dagen?); verder inderdaad nog een zwik cookies die niet snel aflopen; alleen ssa-sid verloopt met een half uur; maar die zal niet het probleem zijn gok ik.

Heb even een screenshot gemaakt van de cookies; ik meld me weer zodra ik weer overnieuw mag inloggen! Overigens vandaag nog geen last; al was ik gister iets later op de ochtend met inloggen en zijn er dus nog geen 24 uur voorbij.

[ Voor 4% gewijzigd door ufear op 26-04-2024 08:47 ]

vrijdag 26 april 2024 08:56

Acties:

+2 Henk 'm!

ufear

Topicstarter

Het mysterie is bovenwater!

Zodra ik op mijn werk-RDP wil inloggen log ik eerst in bij de LastPass browser-extensie; op het moment dat ik dat doe terwijl ik op de Tweakers login-pagina zit dan krijg ik een error dat de CSRF-token ongeldig is; dat was al enigszins vreemd; want ik submit helemaal nog geen formulier.

Wat blijkt nou, autologin stond aan in LastPass; dus de extensie submit het formulier; daarna staan vervolgens de verborgen opties voor sessie-IP-lock en terminate all other sessions aan. En die lijken ook in de request die LastPass stuurt aangezet te worden. Ik weet niet of LastPass automagisch verborgen velden als een 1 meestuurt; of hoe dit precies gaat, maar grote kans dat dit dus niet een door jullie veroorzaakt probleem is.

Wellicht wel een idee om de 'extra' opties zichtbaar te tonen op het moment dat de pagina laad met deze ge-prefilled / ze buiten de gebruiker om gevuld worden?

vrijdag 26 april 2024 20:32

Acties:

+1 Henk 'm!

Rouwette

Rouwette.com

Ik heb hier ook last van, vooral mobiel, en ook als ik alleen maar thuis ben.

https://www.rouwette.com/

maandag 29 april 2024 14:27

Acties:

+2 Henk 'm!

DaFeliX

Tnet Devver

Rouwette schreef op vrijdag 26 april 2024 @ 20:32:
Ik heb hier ook last van, vooral mobiel, en ook als ik alleen maar thuis ben.

Zie dan hierboven, waarbij aangegeven word dat het geen bug was op Tweakers maar aan de Autologin van LastPass lag.

Kijk dus even goed welke "vinkjes" je aanzet bij het inloggen onder "Inlogopties".

Einstein: Mijn vrouw begrijpt me niet

zondag 5 mei 2024 18:05

Acties:

+1 Henk 'm!

oinkoink12

Ongelooflijk ik ergerde me al 2 weken kapot, bedankt.

maandag 6 mei 2024 08:02

Acties:

+1 Henk 'm!

crisp

Devver

Pixelated

Ik denk dat we wat meer zouden moeten doen met het autocomplete attribute, en wellicht voor LastPass specifiek deze velden moeten markeren met data-lpignore=true.

Ik heb daar een ticket voor gemaakt

[ Voor 4% gewijzigd door crisp op 06-05-2024 08:19 ]

Intentionally left blank

vrijdag 10 mei 2024 11:13

Acties:

+1 Henk 'm!

mharnk.nl

Hier ook een LastPass gebruiker die tegen dit probleem opliep.
Bedankt voor dit topic!

Gamertag WalnutCartoon

vrijdag 10 mei 2024 22:44

Acties:

+2 Henk 'm!

wvkreg

same issue, geen lastpass. elke dag verlopen...

vrijdag 10 mei 2024 22:48

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

wvkreg schreef op vrijdag 10 mei 2024 @ 22:44:
same issue, geen lastpass. elke dag verlopen...

Ik zie dat je sessie gelocked is op IP. Is dat bewust? Check anders de volgende keer even of er vinkjes aanstaan bij "inlogopties".

Intentionally left blank

vrijdag 10 mei 2024 22:52

Acties:

+1 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Zelfde problemen hier, en gebruik ook Lastpass. Dit zijn de instellingen die ik heb voor Tweakers:

Afbeeldingslocatie: https://tweakers.net/i/wy3ZVXC53dIq3_i_mEUkH6EzV1g=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/hvnCpAubRfFDJjRg729ehfQP.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/wy3ZVXC53dIq3_i_mEUkH6EzV1g=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/hvnCpAubRfFDJjRg729ehfQP.png?f=user_large

Dit probleem begon voor mij een dag of twee geleden, naast Tweakers was ik ook uitgelogd op Reddit. Maar daar heb ik, na opnieuw inloggen, geen problemen meer. Op Tweakers gisteren opnieuw ingelogd en nu vandaag moest dat weer.

[ Voor 179% gewijzigd door Jazzy op 10-05-2024 22:56 ]

Exchange en Office 365 specialist. Mijn blog.

vrijdag 10 mei 2024 22:54

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Jazzy schreef op vrijdag 10 mei 2024 @ 22:52:
Zelfde problemen hier, en gebruik ook Lastpass. Dit zijn de instellingen die ik heb voor Tweakers:

[Afbeelding]

Dit probleem begon voor mij een dag of twee geleden, naast Tweakers was ik ook uitgelogd op Reddit. Maar daar heb ik, na opnieuw inloggen, geen problemen meer. Op Tweakers gisteren opnieuw ingelogd en nu vandaag moest dat weer.

Ook jouw sessie is gelocked op IP. Bewust?

Intentionally left blank

vrijdag 10 mei 2024 22:57

Acties:

+1 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

crisp schreef op vrijdag 10 mei 2024 @ 22:54:
[...]

Ook jouw sessie is gelocked op IP. Bewust?

Nee, niet bewust. Zie dat deze nu by default aangevinkt is als ik Inlogopties uitklap. Zal even kijken hoe die staat als ik Lastpass uitzet.

Okay, met Lastpass aan zet hij bij het inloggen standaard een vinkje bij Vergrendel deze sessie aan mijn IP en Alle voorgaande sessies beëindigen. Dat laatste verklaart waarom ik hier bij elk apparaat steeds weer tegenaan loop.

[ Voor 28% gewijzigd door Jazzy op 10-05-2024 22:58 ]

Exchange en Office 365 specialist. Mijn blog.

vrijdag 10 mei 2024 22:58

Acties:

+2 Henk 'm!

crisp

Devver

Pixelated

Jazzy schreef op vrijdag 10 mei 2024 @ 22:52:
[...]
Nee, dat lijkt de default te zijn. Zal het even testen met Lastpass uitgeschakeld.

Dat is zeker niet de default, dus als dat aanstaat dan is dat of je browser, of LP die dat aanzet.

Er is al een oplossing hiervoor ontwikkeld, die zal ergens volgende week worden uitgerolt (een attribuut die LP en je browser verteld dat 'ie met z'n tengels van die opties af moet blijven

Intentionally left blank

vrijdag 10 mei 2024 23:00

Acties:

+1 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Ja, dit is 100 procent Lastpass.

Afbeeldingslocatie: https://tweakers.net/i/7s_i6qNyDKFAUyjW3neq_EclZLo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/ZK3Lt2JuxlsupmDTZtZjXe6z.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/7s_i6qNyDKFAUyjW3neq_EclZLo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/ZK3Lt2JuxlsupmDTZtZjXe6z.png?f=user_large

Voor nu, wanneer je uitgelogd bent en Lastpass gebruikt dus even op Inlogopties klikken en bovenstaande vinkjes uitschakelen. Anders blijf je klooien.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 10 mei 2024 23:36

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

crisp schreef op maandag 6 mei 2024 @ 08:02:
Ik denk dat we wat meer zouden moeten doen met het autocomplete attribute, en wellicht voor LastPass specifiek deze velden moeten markeren met data-lpignore=true.

Ik heb daar een ticket voor gemaakt

Zit dit net even te lezen maar voor zover ik begrijp moet de gebruiker dan alsnog die Advanced Setting aanvinken. Net even bij mezelf gekeken en Respect AutoComplete=off: allow websites to disable Autofill staat niet aan.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 10 mei 2024 23:42

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

wvkreg schreef op vrijdag 10 mei 2024 @ 22:44:
same issue, geen lastpass. elke dag verlopen...

Ik meerdere keren per dag op iPhone en iPad. Weet niet waar het aan ligt.

Op Windows laptop nooit.

[ Voor 5% gewijzigd door FreakNL op 10-05-2024 23:43 ]

vrijdag 10 mei 2024 23:50

Acties:

+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

crisp schreef op vrijdag 10 mei 2024 @ 22:58:
Er is al een oplossing hiervoor ontwikkeld, die zal ergens volgende week worden uitgerolt (een attribuut die LP en je browser verteld dat 'ie met z'n tengels van die opties af moet blijven ).

IMO zou een wachtwoord manager sowieso met z'n poten van andere velden blijven. Gebruiker+wachtwoord, en in geval het er ondersteuning voor heeft, het TOTP veld.

FreakNL schreef op vrijdag 10 mei 2024 @ 23:42:
[...]

Ik meerdere keren per dag op iPhone en iPad. Weet niet waar het aan ligt.

Op Windows laptop nooit.

Dat komt door iOS 16 met Firefox inlog steeds kwijt op Tweakers en is een ander issue.

Commandline FTW | Tweakt met mate

vrijdag 10 mei 2024 23:54

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Hero of Time schreef op vrijdag 10 mei 2024 @ 23:50:
[...]

IMO zou een wachtwoord manager sowieso met z'n poten van andere velden blijven. Gebruiker+wachtwoord, en in geval het er ondersteuning voor heeft, het TOTP veld.

[...]

Dat komt door iOS 16 met Firefox inlog steeds kwijt op Tweakers en is een ander issue.

Ah, ik had het in edge ook. Zal toch nog een paar andere browsers proberen

vrijdag 10 mei 2024 23:58

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Jazzy schreef op vrijdag 10 mei 2024 @ 23:36:
[...]
Zit dit net even te lezen maar voor zover ik begrijp moet de gebruiker dan alsnog die Advanced Setting aanvinken. Net even bij mezelf gekeken en Respect AutoComplete=off: allow websites to disable Autofill staat niet aan.

Ik neem aan dat LP die data-lpignore sowieso wel zal honoreren.

Intentionally left blank

zaterdag 11 mei 2024 00:01

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

crisp schreef op vrijdag 10 mei 2024 @ 23:58:
[...]

Ik neem aan dat LP die data-lpignore sowieso wel zal honoreren.

Zou mooi zijn, maar volgens de documentatie:

To prevent LastPass from autofilling certain fields on specific sites or applications that you have control over, you will need to update your individual vault item as well as your LastPass browser extension preferences.

Kan dus bevestigen dat die optie inderdaad standaard uit staat. Maar goed, misschien lees ik het verkeerd. Hoop het...

[ Voor 4% gewijzigd door Jazzy op 11-05-2024 00:02 ]

Exchange en Office 365 specialist. Mijn blog.

zaterdag 11 mei 2024 00:53

Acties:

+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

FreakNL schreef op vrijdag 10 mei 2024 @ 23:54:
[...]

Ah, ik had het in edge ook. Zal toch nog een paar andere browsers proberen

offtopic:
Lees het hele topic wat ik linkte goed door. Elke browser op iPhone/iPad gebruikt effectief de Safari engine en het maakt dus niet uit wat je probeert. Totdat de EU regelgeving daadwerkelijk actief zijn en browsers hun eigen engine kunnen gebruiken, blijft het een probleem.

Commandline FTW | Tweakt met mate

maandag 13 mei 2024 08:12

Acties:

0 Henk 'm!

wvkreg

crisp schreef op vrijdag 10 mei 2024 @ 22:48:
[...]

Ik zie dat je sessie gelocked is op IP. Is dat bewust? Check anders de volgende keer even of er vinkjes aanstaan bij "inlogopties".

Niet bewust en ik heb geen vinkjes.

maandag 13 mei 2024 15:58

Acties:

0 Henk 'm!

GoodspeeD

Ik had hetzelfde probleem. Sinds vanmiddag word ik echter meteen uitgelogd na inloggen.

Afbeeldingslocatie: https://tweakers.net/i/F_BSud1MkALN-SLaLqSt9OFojFg=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/gTD6dBAKDU7qqwvfI7LAEZex.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/F_BSud1MkALN-SLaLqSt9OFojFg=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/gTD6dBAKDU7qqwvfI7LAEZex.png?f=user_large

Lastpass extensie uitzetten lijkt het probleem inderdaad op te lossen.

woensdag 15 mei 2024 13:14

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

We hebben zojuist het login formulier aangepast met autocomplete en data-lpignore attributen; hopelijk voorkomt dat ook deze problemen

Intentionally left blank

woensdag 15 mei 2024 13:26

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

crisp schreef op woensdag 15 mei 2024 @ 13:14:
We hebben zojuist het login formulier aangepast met autocomplete en data-lpignore attributen; hopelijk voorkomt dat ook deze problemen

Helaas, Lastpass zet nog steeds de vinkjes. Lastpass doet alleen iets met de attributen als je dus eerst de optie 'Respect AutoComplete=off: allow websites to disable Autofill' aan zet in de instellingen van de extensie. welke standaard dus niet aan staat.

[ Voor 3% gewijzigd door Jazzy op 15-05-2024 13:27 ]

Exchange en Office 365 specialist. Mijn blog.

woensdag 15 mei 2024 13:36

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Jazzy schreef op woensdag 15 mei 2024 @ 13:26:
[...]
Helaas, Lastpass zet nog steeds de vinkjes. Lastpass doet alleen iets met de attributen als je dus eerst de optie 'Respect AutoComplete=off: allow websites to disable Autofill' aan zet in de instellingen van de extensie. welke standaard dus niet aan staat.

Hmmm, ik had verwacht dat het data-lpignore attribuut daar los van zou staan

Intentionally left blank

woensdag 15 mei 2024 13:55

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Ik kan het zelf overigens niet reproduceren in de LastPass extensie in Firefox...

Intentionally left blank

woensdag 15 mei 2024 14:15

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

crisp schreef op woensdag 15 mei 2024 @ 13:55:
Ik kan het zelf overigens niet reproduceren in de LastPass extensie in Firefox...

Heb het issue hier met Chrome op Mac en Windows.

Exchange en Office 365 specialist. Mijn blog.

woensdag 15 mei 2024 14:24

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Jazzy schreef op woensdag 15 mei 2024 @ 14:15:
[...]
Heb het issue hier met Chrome op Mac en Windows.

Op Chrome kan ik het ook niet reproduceren. Als je in LP bij Edit password op de steeksleutel klikt links onderin, staan daar dan specifieke velden benoemd?

Afbeeldingslocatie: https://tweakers.net/i/hdtXEVcpBNbbO8N-qgdfxwW6jKc=/x800/filters:strip_exif()/f/image/YLV7xaj6NaLVUEOtHJ5cORnj.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/nmbZLla1dYrP29UgH7xSr3jlLvY=/x800/filters:strip_exif()/f/image/TzkHq9EHXcfbrxCp01XPP5Lp.png?f=fotoalbum_large

Intentionally left blank

woensdag 15 mei 2024 20:25

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Zal even repro steps proberen te maken.

Open een InCognito window, ga naar de Tweeakers inlogpagina en klik op inlogopties. Beide vinkjes zijn gezet door Lastpass. Sleep dit scherm naar je tweede monitor.

Open nu Chrome opnieuw, klik op de Lastpass extensie, Account, Extension Settings, Advanced. Zet een vinkje bij de optie Respect AutoComplete=off: allow websites to disable Autofill.

Terwijl je dat doet zie je in het eerste scherm de vinkjes weggehaald worden. Zet je die optie weer uit, zie je meteen dat Lastpass de data-lpignore negeert (pun intended

) en de vinkjes op de inlogpagina weer aanzet.

Exchange en Office 365 specialist. Mijn blog.

donderdag 20 juni 2024 09:14

Acties:

0 Henk 'm!

GoodspeeD

Voor de zekerheid. Wordt hier nog aan gewerkt, of is het beeld dat het al opgelost is? Ik word nog steeds met elke tien minuten op Tweakers.net uitgelogd automatisch als de Lastpass extensie in Chrome aan staat.

donderdag 20 juni 2024 09:38

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

GoodspeeD schreef op donderdag 20 juni 2024 @ 09:14:
Voor de zekerheid. Wordt hier nog aan gewerkt, of is het beeld dat het al opgelost is? Ik word nog steeds met elke tien minuten op Tweakers.net uitgelogd automatisch als de Lastpass extensie in Chrome aan staat.

Blijkbaar is er geen manier voor ons om dit soort automatische behaviour van LastPass te voorkomen. Je moet dus zorgen dat LastPass je niet automatisch inlogt op Tweakers, en geen automatische vinkjes zet onder de inlogopties.

Uiteindelijk is dit gewoon een issue van LastPass; blijkbaar ziet hij de checkboxes als een "blijf-ingelogd-optie" of iets dergelijks. Je zou daarvoor een issue bij LastPass kunnen aanmaken, wellicht hebben ze mogelijkheden om dat op sitebasis te configureren: https://support.lastpass....eport_Bug.html&_LANG=enus

Intentionally left blank

Pagina: 1

Reageer