Option "[x] Angemeldet bleiben" fehlt nach WSC 5.4 im Login-Dialog

  • Betroffene Version
    WoltLab Suite 5.4

    Hallo!

    Warum fehlt im Login-Dialog nach dem Update auf WSC 5.4 die Option "[x] Angemeldet bleiben"? Ist diese durch die 2FA überflüssig geworden? Was bedeutet der Verzicht auf die Option, wenn Foren-User 2FA gar nicht nutzen?

    Gruß aus Südhessen

    • Offizieller Beitrag

    Hallo,

    beim Aktivieren dieser Option wurde die Benutzer-ID und ein Hash des Passworts für eine gewisse Zeit als Cookie gesetzt. Dies erlaubte es, den Benutzer automatisch beim Aufruf der Seite anzumelden, wenn die Session bereits abgelaufen war. Das ist aber nicht nur ineffizient (Cookies werden bei jeder Anfrage mitgeschickt), sondern auch unschön, weil so die Prüfsumme des Passwort permanent an den Server geschickt wird.

    Ab der WoltLab Suite 5.4 wird die Session-ID als kryptographisch signierter String als Cookie gespeichert, dies macht die Fälschung des Cookies unmöglich. Gleichzeitig werden Sessions von angemeldeten Benutzern für zwei Wochen auf dem Server vorgehalten, d.h. solange man innerhalb von maximal 14 Tagen die Seite erneut aufruft, ist die gespeicherte Session-ID gültig und die Gültigkeit der Session wird erneut auf 14 Tage gesetzt (sie kann sich damit unendlich verlängern). Die Checkbox "Angemeldet bleiben" wurde entfernt, weil sie in 5.4 technisch keinen Nutzen mehr hat.

  • Das heißt im Umkehrschluss, dass User sich nun immer aktiv abmelden müssen, wenn sie nicht über die Browser-Session hinaus angemeldet bleiben wollen - richtig?

    Gruß aus Südhessen

  • Ich verstehe noch nicht so richtig, warum ein Teil der User mit abgelaufenen Sessions Probleme haben. Was muss denn beachtet werden, damit dies nicht passiert? Spielen multiple offene Tabs oder multiple offene Browser-Fenster eine Rolle (und welche)?

    Gruß aus Südhessen

  • Hier spielen mitunter die im Webbrowser gewählten Einstellungen eine Rolle.

    So werden z. B. bei mir (gewollt) nach dem Beenden von Firefox folgende Daten automatisch gelöscht.


    Sofern nun ein User hier mehr oder weniger unbewusst die von mir gewählten strengen Einstellungen gewählt hat, wird er sich dagegen wundern, dass er mit abgelaufenen Sessions konfrontiert wird.

    Gruß Markus

    WoltLab Suite 5.5.20

    Einmal editiert, zuletzt von Webmark (12. August 2021 um 17:26)

  • beim Aktivieren dieser Option wurde die Benutzer-ID und ein Hash des Passworts für eine gewisse Zeit als Cookie gesetzt. Dies erlaubte es, den Benutzer automatisch beim Aufruf der Seite anzumelden, wenn die Session bereits abgelaufen war. Das ist aber nicht nur ineffizient (Cookies werden bei jeder Anfrage mitgeschickt), sondern auch unschön, weil so die Prüfsumme des Passwort permanent an den Server geschickt wird.

    Aha. Und das wolltet ihr uns wann mitteilen? Heißt unsere Datenschutzerklärung ist unzutreffend: „Wenn du im Anmeldefenster die Option „Dauerhaft angemeldet bleiben“ auswählst, werden deine Zugangsdaten in verschlüsselter Form als Cookie gespeichert und du musst dich nicht mehr bei jedem Besuch erneut anmelden. Beim ersten Aufruf unserer Seite wird eine neue Sitzung gestartet, diese wird durch ein eindeutiges Cookie deinem Computer zugeordnet, um dich während deines Besuchs wiederzuerkennen. Dieses temporäre Cookie wird beim Beenden deines Browsers gelöscht.“

    Ab der WoltLab Suite 5.4 wird die Session-ID als kryptographisch signierter String als Cookie gespeichert, dies macht die Fälschung des Cookies unmöglich. Gleichzeitig werden Sessions von angemeldeten Benutzern für zwei Wochen auf dem Server vorgehalten, d.h. solange man innerhalb von maximal 14 Tagen die Seite erneut aufruft, ist die gespeicherte Session-ID gültig und die Gültigkeit der Session wird erneut auf 14 Tage gesetzt (sie kann sich damit unendlich verlängern).

    Argh! Solche nicht zwingend notwendigen Cookies sind grundsätzlich immer zustimmungspflichtig. Wie kann der Benutzer dieses Cookie ablehnen? ?(

    Die Checkbox "Angemeldet bleiben" wurde entfernt, weil sie in 5.4 technisch keinen Nutzen mehr hat.

    Das mag ja sein, aber die Funktion bleibt wichtig, denn man sollte klar unterscheiden: Technisch zwingend notwendige Session-Cookie, um während einer Sitzung wiederkannt zu werden (ohne Zustimmung des Benutzers), und optional zu setzendes Login-Cookie (mit Zustimmung des Benutzers), um auch beim nächsten Besuch wiedererkannnt zu werden, und das möchte man höchstens auf dem eigenen Rechner verwenden.

  • Nein. Nur wenn sie technisch zwingend notwendig sind. Wenn sich jemand durch einen Onlineshop bewegt, und nach und nach den Warenkorb befüllt, dann wird man dessen Inhalt per temporärem Sitzungs-Cookie speichern, und so verhält es sich auch bei der Anmeldung bei Websites. Das von der WoltLab Suite angewandte Verfahren ist überraschend und die Datenverarbeitung wohl unzulässig. Sie erfordert eine aktive Zustimmung.

    • Offizieller Beitrag

    Es ist nicht besonders hilfreich, dieselbe Diskussion in zwei Themen zu führen. Das aktuellere Thema mit einer entsprechenden Aufklärung findet man hier:

    Alexander Ebert
    21. August 2021 um 23:01

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!