"Eingeloggt bleiben" im Login Screen wieder implementieren

  • Der zukünftige Text unserer Datenschutzerklärung:

    Zitat

    Beim ersten Aufruf unserer Website wird eine neue Sitzung gestartet, und durch ein Cookie („wcf_user_session“) deinem Browser zugeordnet; dieses temporäre Cookie wird beim Beenden deines Browsers wieder gelöscht. Wenn du dich mit deinem Benutzer anmeldest, wird das temporäre Cookie entfernt und stattdessen ein persistentes Cookie gesetzt, das erhalten bleibt, solange du angemeldet bist, und gelöscht wird, sobald du dich abmeldest. Ein weiteres temporär gesetztes Cookie („XSRF-Token“) dient dem Schutz vor gefälschten Anfragen.

    Ist das technisch korrekt und zugleich leicht verständlich?

    PS: Wenn die Checkbox keinen Sinn mehr ergibt, warum auch immer, könnte man dann nicht einen Hinweis einbauen, dass man sich beim letzten Mal nicht sauber abgemeldet hat, und zukünftig doch bitte dran denken sollte, so wie man es bspw. von Banken kennt?

  • Lässt es sich irgendwie wieder umsetzen, dass der Haken, eingeloggt zu bleiben, aktiv gesetzt werden muss, so dass man sich ansonsten beim nächsten Besuch wieder einloggen muss?

    Ich denke nicht, dass WoltLab gewillt ist diese Funktion wieder einzuführen.

    Davon abgesehen kann ich die Einwände von Geronimo durchaus verstehen, zumal die von WoltLab durchgeführte Neuerung einer Änderung der Datenschutzerklärung bedarf.

    Gruß Markus

    WoltLab Suite 5.5.20

    Einmal editiert, zuletzt von Webmark (22. August 2021 um 16:07)

  • Auch dies ist für mich einer von diversen Gründen, weshalb ich ein Update auf 5.4 derzeit nicht als sinnvoll erachte.

    Um auf die Frage von PoooMukkel zurückzukommen. Für den normalen User fehlt plötzlich die gewohnte Einstellung "Eingeloggt bleiben", ohne dass es dazu einen entsprechenden Hinweis gibt!

    Ich bin in diversen Foren tätig, doch stets wird die Option "Eingeloggt bleiben" beim Login angezeigt.

    Gruß Markus

    WoltLab Suite 5.5.20

  • Das habe ich mir gerade auch noch angeschaut. Was sind denn das für IP-Adressen? Die Speicherung von IP-Adressen unserer Nutzer ist deaktiviert. Auch unser Webserver speichert sie lediglich gekürzt. Das letzte Oktett wird abgeschnitten. ?(

    Ohne genauer zu wissen: Integritätstest der Sessions, da es nicht die komplette IP sondern nur ein Teil davon ist.

    Projekte:

    XIVDATA - Eorzea Database

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

    • Offizieller Beitrag

    Möglich. Das habe ich gleich mal überprüft. Übernimmt man die Session-ID von Rechner A mit Internetzugang A auf Rechner B mit Internetzugang B ist man dennoch sofort angemeldet. Die Session-ID ersetzt Benutzername und Passwort. Und vermutlich auch weitere Faktoren.

    Und das ist so vollkommen normal und auch nicht problematisch. Die Session-ID ist schon immer sehr lang, wodurch ein erraten nicht sinnvoll möglich ist (1640 Möglichkeiten). Durch die kryptografische Signierung des Wertes (HMAC) ist es endgültig unmöglich geworden.

  • Wo lag ich falsch? Du hast dich über Cookies mit Zugangsdaten aufgeregt, nachdem sie abgeschafft worden sind nachdem sie Jahre in use waren.

    Die userID- und password-Cookies gab es seit etlichen Jahren und erst jetzt mit WSC 5.4 nicht mehr in favour of user_session und XSRF-TOKEN.

    Bei den Sessions werden schon die ganze Zeit IP-Adressen temporär! gespeichert, bis die Sessions serverseitig verworfen werden. Wann das passiert, wurde dir bereits erklärt. Was glaubst du denn wie die Auflistung der Sitzungen unter z.B. https://www.woltlab.com/account-security/ funktioniert?

    Außerdem erinnere ich doch natürlich gerne an dein eigenes Thema: IP-Adressen werden gespeichert obwohl deaktiviert

    Ich kann also relativ sicher behaupten, dass die IP-Adressen in den Sessions bereits seit laaanger Zeit (temporär) gespeichert werden.

  • Naja, die amerikanischen Anbieter sollte man sich hier vielleicht nicht als Vorbild nehmen, aber zumindest Amazon hat die Checkbox weiterhin und auch bei Google hat man die Problematik erkannt, und informiert die Benutzer umfassend.

    Gut das meine willkommensbox (selber gemacht) darauf hinweist :)

  • Wo lag ich falsch? Du hast dich über Cookies mit Zugangsdaten aufgeregt, nachdem sie abgeschafft worden sind nachdem sie Jahre in use waren.

    Die userID- und password-Cookies gab es seit etlichen Jahren und erst jetzt mit WSC 5.4 nicht mehr in favour of user_session und XSRF-TOKEN.

    Dann hast du mich leider falsch verstanden. Ich hatte darauf hingeweisen, dass wir darüber nicht informiert wurden, und entsprechend einige Zeit unsere Benutzer falsch informierten. Eine solche Änderung sollte angekündigt werden!

    Außerdem erinnere ich doch natürlich gerne an dein eigenes Thema: IP-Adressen werden gespeichert obwohl deaktiviert

    Ich kann also relativ sicher behaupten, dass die IP-Adressen in den Sessions bereits seit laaanger Zeit (temporär) gespeichert werden.

    Ja, und darüber muss man halt informieren, aber dazu muss man als Betreiber wissen, dass und wozu die IP-Adressen dort gespeichert werden, und das erfährt man normalerweise aus der Dokumentation.

  • Tim Düsterhus 28. November 2022 um 16:11

    Hat das Label Nicht geplant hinzugefügt.
    • Offizieller Beitrag

    Hallo,

    dieser Vorschlag ist nicht geplant. Er würde das Session-System verkomplizieren, da es auch für Benutzersitzungen unterschiedliche „Lebensdauer“ geben würde und gleichzeitig würde nur ein geringer Mehrwert entstehen:

    Heutzutage dürften die meisten Benutzer über ein eigenes „Gerät“ oder zumindest über ein persönliches Benutzerkonto verfügen, sodass der Zugriff auf den Browser mit eingeloggter Sitzung voraussetzt, dass ein „Angreifer“ an der Bildschirmsperre des Geräts vorbeikommt. Umgekehrt würde aber selbst eine kurze Sitzungslänge im Forum nicht zuverlässig vor unautorisiertem Zugriff auf das Konto schützen: Egal wie kurz das Zeitfenster ist, es besteht immer eine Chance, dass jemand dieses Zeitfenster nutzt.

    Im Falle einer tatsächlich vergessenen Sitzung auf einem Drittgerät, bietet die Session-Liste in der „Konto-Sicherheit“ die Möglichkeit jederzeit und zuverlässig eine bestehende Sitzung zu vernichten.

  • Der Wunsch ist ja nun schon wieder fast 2 Jahre alt. Ich bin keine 30 mehr und habe doch schon lange vergessen, was ich hier eigentlich wollte. Zumal sich meine Benutzer nun auch daran gewöhnt haben, wie es aktuell ist. Wie heißt es so schön? Die Zeit heilt alle Wunden? :D

  • Hallo,

    Der Wunsch ist ja nun schon wieder fast 2 Jahre alt.

    ich möchte noch anmerken, dass ich es gut finde, dass die Entscheidung – in diesem Fall „nicht geplant“ – zusätzlich begründet wird.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!