regelmäßige Abmeldung vom ACP trotz Aktivität

  • Affected Version
    WoltLab Suite 5.4
    Affected App
    WoltLab Suite Core

    Guten Morgen,

    ich nehme aktuell viele Änderungen an meiner Seite vor. Dadurch bin ich derzeit mehrere Stunden am Stück im ACP angemeldet. Leider fliege ich da regelmäßig (alle paar Stunden) raus und mich erneut Authentifizieren. Nach der Authentifizierung sind meine Änderungen, die ich an Templates oder Stilen gemacht habe, weg.

    Hier liegt wohl ein Fehler bei der Verlängerung der Session bei Aktivität vor.

    Grüße

  • Das selbe Problem habe ich auch.

    Ablauf meist: ACP öffnen > Einstellen + In anderen Tabs aktiv sein

    Sobald ich dann nach gewisser Zeit in das ACP zurückmöchte und eine Aktion durchführe, fliege ich raus und wie ilou schrieb, sind dann Änderungen verworfen.

  • Das selbe Problem habe ich auch.

    Ablauf meist: ACP öffnen > Einstellen + In anderen Tabs aktiv sein

    Sobald ich dann nach gewisser Zeit in das ACP zurückmöchte und eine Aktion durchführe, fliege ich raus und wie ilou schrieb, sind dann Änderungen verworfen.

    Nur bei dir ist es ja dann wirklich die Inaktivität im ACP.

    Beim Themaersteller lese ich das nicht sicher raus, ob dauerhaft im ACP etwas eingestellt wird, oder ob es auch für einen längeren Zeitraum nicht genutzt wird.

  • Hallo,

    die Eingabe des Kennworts sorgt für eine „Reauthentifizierung“, die für 2 Stunden hält. Nach diesem 2 Stunden muss das Kennwort grundsätzlich erneut eingegeben werden. Es gibt aber eine Karenzzeit von 15 Minuten nach der letzten Aktivität, diese dient dazu, dass man ein aufgerufenes Formular noch vollständig ausfüllen kann.

    Beispiel:

    • 13:00: Authentifizierung mit Kennwort.
    • 14:55: Aufruf eines Formulars.
    • 15:00: Ab hier würde wieder ein Kennwort eingefordert, aber der letzte Aufruf ist erst 5 Minuten her, sodass eine Karenzzeit bis 15:10 besteht.
    • 15:05: Absenden des Formulars: Karenzzeit wird auf 15:20 verlängert.
    • 15:30: Nächster Seitenaufruf, Kennwort muss eingegeben werden.
  • Tim Düsterhus May 24, 2023 at 4:37 PM

    Added the Label Works as designed
  • Tim Düsterhus Danke für diese Information, nun ist mir endlich klar weshalb ich mich mich mitunter mehrfach täglich im ACP anmelden muss.

    Dennoch ist mir der eigentliche Sinn dieser "Reauthentifizierung" nicht klar.

    Gruß Markus

    WoltLab Suite 5.5.21

  • Dennoch ist mir der eigentliche Sinn dieser "Reauthentifizierung" nicht klar.

    Ich weiß nicht ob man sowas heute noch gibt. Früher gab es Internet-Cafes. Stell Dir vor Du loggst Dich dort ein oder an einen anderen Fremden Computer und vergisst versehentlich Dich abzumelden... Ich denke mehr brauch ich nicht erläutern.

  • Darüber, was der TE schildert, bin ich auch schon gestolpert. Mir erschliesst sich der Sinn nicht, warum man automatisch ausgeloggt wird – jedenfalls, wenn man gerade dabei ist Inhalte zu erstellen. Ärgerlich, wenn diese dann weg sind.

    Liebe Grüsse
    Eisu

    «Die digitale Welt birgt Geheimnisse der Seele. Ctrl + Alt + Glück, um den Code für ein erfülltes Leben zu entschlüsseln.»

  • Stell Dir vor Du loggst Dich dort ein oder an einen anderen Fremden Computer und vergisst versehentlich Dich abzumelden...

    Wer tatsächlich meint sich an einem fremden Computer als Administrator einloggen zu müssen, ist selbst schuld wenn dadurch etwas passiert.

    In früheren Versionen wurde man im ACP auch nicht ungewollt ausgeloggt und ich wüsste nicht, dass die zu Problemen geführt hat.

    Gruß Markus

    WoltLab Suite 5.5.21

  • Hallo,

    Ich weiß nicht ob man sowas heute noch gibt. Früher gab es Internet-Cafes.

    Internet-Cafés heutzutage vielleicht nicht mehr, aber in Familien gibt es mitunter noch „Familien-PCs“.

    und vergisst versehentlich Dich abzumelden...

    Das ist aber ein anderer Sachverhalt: In diesem Fall sollte die Sitzung vollständig über die Liste der aktiven Sitzungen vernichtet werden.

    Die Reauthentifizierung ist ein zusätzlicher Schutz, der auf grundsätzlich vertrauenswürdigen Geräten sicherstellt, dass sich das Gerät auch wirklich unter der akuten Kontrolle des Account-Eigentümers befindet. Etwa dann, wenn man vergisst das Gerät zu sperren.

    Wer tatsächlich meint sich an einem fremden Computer als Administrator einloggen zu müssen, ist selbst schuld wenn dadurch etwas passiert.

    ?(

    In früheren Versionen wurde man im ACP auch nicht ungewollt ausgeloggt

    Das ist falsch. Tatsächlich war es in früheren Versionen noch deutlich schlimmer. Ganz früher musste man sich für jeden Aufruf des ACPs neu einloggen (weil die Session-ID Bestandteil der URL war). Als die Session-ID auch für das ACP in einem Cookie abgelegt wurde, hatte die Sitzung im ACP die Lebensdauer einer normalen Sitzung, wenn ich mich richtig erinnere, 20 Minuten nach letzter Aktivität. Jetzt sind es 15 Minuten nach letzter Aktivität, mindestens aber 2 Stunden.

  • Ich bin mir eigentlich sicher, dass ich mich zu Zeiten von WBB 3x z. B. Morgens ins ACP eingeloggt hatte und sofern ich mich nicht zwischenzeitlich bewusst ausgeloggt hatte, auch ohne weitere Aktivität am Abend noch aktiviert war.

    Gruß Markus

    WoltLab Suite 5.5.21

  • Beim Themaersteller lese ich das nicht sicher raus, ob dauerhaft im ACP etwas eingestellt wird, oder ob es auch für einen längeren Zeitraum nicht genutzt wird.

    Bei mir sind es in den letzten 2 Tagen meistens Aktivitäten im maximal 15 Minuten-Abstand - je nachdem wie aufwändig das debugging des Designs und JavaScripts ist.

    14:55: Aufruf eines Formulars.
    15:00: Ab hier würde wieder ein Kennwort eingefordert, aber der letzte Aufruf ist erst 5 Minuten her, sodass eine Karenzzeit bis 15:10 besteht.
    15:05: Absenden des Formulars: Karenzzeit wird auf 15:20 verlängert.
    15:30: Nächster Seitenaufruf, Kennwort muss eingegeben werden.

    Würde es hier nicht vielleicht mehr Sinn machen bei Absenden des Formulars das Formular zu speichern und die Session zu beenden und den Nutzer dann zu Reauthentifizieren anstatt die Karenzzeit zu verlängern? Dann wären die Änderungen gespeichert und der Nutzer würde beim nächsten Versuch, das Formular abzusenden, nicht von der Reauthentifizerung überrascht werden.

    Was man vielleicht bedenken müsste wären Fehler beim Absenden des Formulars. Alternativ, statt den Nutzer automatisch "abzumelden", könnte man sonst auch einen Banner anzeigen in dem der Nutzer darüber benachrichtigt wird, dass er bald abgemeldet wird und sich dann reauthentifizieren muss. An der Stelle könnte dann auch ein Button "Jetzt reauthentifizieren" eingebettet werden, damit der Nutzer sich sofort reauthentifizieren kann oder wenigstens rechtzeitig die Möglichkeit bekommt, seine Änderungen ohne Datenverlust zu speichern.

    Grüße

  • Bin ebenfalls dafür einen Hinweis im ACP anzeigen zu lassen, dass die Session bald endet und ein Extend der Session per etwaigem Login waere auch super, wenn dies ohne Neu-Laden des Tabs funktionieren koennte.

    Ansonsten wenigstens der Hinweis oder Redirect auf die Auth Seite.

    Ich hatte schon zu oft ausversehen etwas im Style angepasst und auf Absenden gedrueckt obwohl die Session bereits invalidert wurde und ich wurde dann auf die Re-Auth Seite geleitet und alle Aenderungen waren weg.

    Med venlig hilsen / Regards,

    Alex

  • Hallo,

    Bei mir sind es in den letzten 2 Tagen meistens Aktivitäten im maximal 15 Minuten-Abstand - je nachdem wie aufwändig das debugging des Designs und JavaScripts ist.

    In diesem Fall solltest du die Reauthentifizierung nicht sehen – bzw. erst nach 12 Stunden, das ist die harte Frist. Dann solltest du aber vermutlich mehr Pausen einlegen.

    Würde es hier nicht vielleicht mehr Sinn machen bei Absenden des Formulars das Formular zu speichern und die Session zu beenden und den Nutzer dann zu Reauthentifizieren anstatt die Karenzzeit zu verlängern? Dann wären die Änderungen gespeichert und der Nutzer würde beim nächsten Versuch, das Formular abzusenden, nicht von der Reauthentifizerung überrascht werden.

    Technisch sind das zwei komplett unterschiedliche Schichten, die nur sehr bedingt voneinander wissen. Die Reauthentifizierung für das ACP wird an einer zentralen Stelle überprüft, damit diese zuverlässig für alle Seiten im ACP greift und nicht versehentlich durch eine Unachtsamkeit „ausgehebelt“ werden kann. Diese zentrale Stelle weiß aber nicht, was es mit der Anfrage „auf sich hat“ und kann nicht beurteilen, ob es sicher ist, die Anfrage noch zuzulassen oder nicht.

    Auch besteht dann die von dir bereits genannte Gefahr, dass für den Nutzer nicht eindeutig ersichtlich ist, ob die Anfrage jetzt erfolgreich durchgegangen ist, oder nicht. Beim Editieren eines Stils ist dies vermutlich noch relativ einfach zu überprüfen, bei anderen Aktionen (etwa Versand einer E-Mail) aber womöglich nicht.

    Auf GitHub haben wir bereits eine Issue, die für sogenannte GET-Anfragen, die per Definition keine Daten modifizieren sollen, die Karenzzeit nicht greifen zu lassen:

    Consider requesting a reauthentication for GET requests in the grace period · Issue #4690 · WoltLab/WCF
    The reauthentication's grace period is meant to improve the UX in cases where a user opens up a form shortly before the soft limit expires and then submits the…
    github.com

    Änderungen an sicherheitsrelevanten Komponenten, wie der Reauthentifizierung müssen aber sehr sorgfältig bedacht und getestet werden, in WoltLab Suite 6.0 als kommende Version hat das daher keinen Platz mehr.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!