"Eingeloggt bleiben" im Login Screen wieder implementieren

  • Der zukünftige Text unserer Datenschutzerklärung:

    Quote

    Beim ersten Aufruf unserer Website wird eine neue Sitzung gestartet, und durch ein Cookie („wcf_user_session“) deinem Browser zugeordnet; dieses temporäre Cookie wird beim Beenden deines Browsers wieder gelöscht. Wenn du dich mit deinem Benutzer anmeldest, wird das temporäre Cookie entfernt und stattdessen ein persistentes Cookie gesetzt, das erhalten bleibt, solange du angemeldet bist, und gelöscht wird, sobald du dich abmeldest. Ein weiteres temporär gesetztes Cookie („XSRF-Token“) dient dem Schutz vor gefälschten Anfragen.

    Ist das technisch korrekt und zugleich leicht verständlich?


    PS: Wenn die Checkbox keinen Sinn mehr ergibt, warum auch immer, könnte man dann nicht einen Hinweis einbauen, dass man sich beim letzten Mal nicht sauber abgemeldet hat, und zukünftig doch bitte dran denken sollte, so wie man es bspw. von Banken kennt?

  • Lässt es sich irgendwie wieder umsetzen, dass der Haken, eingeloggt zu bleiben, aktiv gesetzt werden muss, so dass man sich ansonsten beim nächsten Besuch wieder einloggen muss?

    Ich denke nicht, dass WoltLab gewillt ist diese Funktion wieder einzuführen.


    Davon abgesehen kann ich die Einwände von Geronimo durchaus verstehen, zumal die von WoltLab durchgeführte Neuerung einer Änderung der Datenschutzerklärung bedarf.

    Gruß Markus


    WoltLab Suite 5.3.16

    Edited once, last by Webmark ().

  • Auch dies ist für mich einer von diversen Gründen, weshalb ich ein Update auf 5.4 derzeit nicht als sinnvoll erachte.


    Um auf die Frage von PoooMukkel zurückzukommen. Für den normalen User fehlt plötzlich die gewohnte Einstellung "Eingeloggt bleiben", ohne dass es dazu einen entsprechenden Hinweis gibt!


    Ich bin in diversen Foren tätig, doch stets wird die Option "Eingeloggt bleiben" beim Login angezeigt.

    Gruß Markus


    WoltLab Suite 5.3.16

  • Für den normalen User fehlt plötzlich die gewohnte Einstellung "Eingeloggt bleiben", ohne dass es dazu einen entsprechenden Hinweis gibt!

    Nicht nur für den normalen Nutzer. Blöd ist, dass nicht mal Admins das wissen. :(

  • Das habe ich mir gerade auch noch angeschaut. Was sind denn das für IP-Adressen? Die Speicherung von IP-Adressen unserer Nutzer ist deaktiviert. Auch unser Webserver speichert sie lediglich gekürzt. Das letzte Oktett wird abgeschnitten. ?(


    Ohne genauer zu wissen: Integritätstest der Sessions, da es nicht die komplette IP sondern nur ein Teil davon ist.

    Projekte:

    XIVDATA - Eorzea Database


    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...


    • Official Post

    Möglich. Das habe ich gleich mal überprüft. Übernimmt man die Session-ID von Rechner A mit Internetzugang A auf Rechner B mit Internetzugang B ist man dennoch sofort angemeldet. Die Session-ID ersetzt Benutzername und Passwort. Und vermutlich auch weitere Faktoren.

    Und das ist so vollkommen normal und auch nicht problematisch. Die Session-ID ist schon immer sehr lang, wodurch ein erraten nicht sinnvoll möglich ist (1640 Möglichkeiten). Durch die kryptografische Signierung des Wertes (HMAC) ist es endgültig unmöglich geworden.

  • Wo lag ich falsch? Du hast dich über Cookies mit Zugangsdaten aufgeregt, nachdem sie abgeschafft worden sind nachdem sie Jahre in use waren.

    Die userID- und password-Cookies gab es seit etlichen Jahren und erst jetzt mit WSC 5.4 nicht mehr in favour of user_session und XSRF-TOKEN.

    Bei den Sessions werden schon die ganze Zeit IP-Adressen temporär! gespeichert, bis die Sessions serverseitig verworfen werden. Wann das passiert, wurde dir bereits erklärt. Was glaubst du denn wie die Auflistung der Sitzungen unter z.B. https://www.woltlab.com/account-security/ funktioniert?

    Außerdem erinnere ich doch natürlich gerne an dein eigenes Thema: IP-Adressen werden gespeichert obwohl deaktiviert

    Ich kann also relativ sicher behaupten, dass die IP-Adressen in den Sessions bereits seit laaanger Zeit (temporär) gespeichert werden.

  • Naja, die amerikanischen Anbieter sollte man sich hier vielleicht nicht als Vorbild nehmen, aber zumindest Amazon hat die Checkbox weiterhin und auch bei Google hat man die Problematik erkannt, und informiert die Benutzer umfassend.


    Gut das meine willkommensbox (selber gemacht) darauf hinweist :)

  • Wo lag ich falsch? Du hast dich über Cookies mit Zugangsdaten aufgeregt, nachdem sie abgeschafft worden sind nachdem sie Jahre in use waren.

    Die userID- und password-Cookies gab es seit etlichen Jahren und erst jetzt mit WSC 5.4 nicht mehr in favour of user_session und XSRF-TOKEN.

    Dann hast du mich leider falsch verstanden. Ich hatte darauf hingeweisen, dass wir darüber nicht informiert wurden, und entsprechend einige Zeit unsere Benutzer falsch informierten. Eine solche Änderung sollte angekündigt werden!

    Außerdem erinnere ich doch natürlich gerne an dein eigenes Thema: IP-Adressen werden gespeichert obwohl deaktiviert

    Ich kann also relativ sicher behaupten, dass die IP-Adressen in den Sessions bereits seit laaanger Zeit (temporär) gespeichert werden.

    Ja, und darüber muss man halt informieren, aber dazu muss man als Betreiber wissen, dass und wozu die IP-Adressen dort gespeichert werden, und das erfährt man normalerweise aus der Dokumentation.