Cookies stürzen ab Einstellungen

[Rafaella]

hi,

seit das Forum im neuen Gewande erscheint, habe ich folgendes Problem: ziemlich häufig, ob ich den PC runtergefahren habe oder nicht, stürzt meine Permanent-Anmeldung hier ab, ich muss mich sehr oft neu einloggen, obwohl ich den Button für "angemeldet bleiben" angekreuzt habe.
In anderen Forem habe ich das Problem nicht, sodass ich denke, es liegt nicht an meinem Rechner...woran kanns liegen?

lg

Rafaella

schamrot meinen realnamen entfernt, danke der edlen Aufmerkerin :-)

nich gemeckert, nur gefragt (IMG:style_emoticons/default/cool.gif)

Der Beitrag wurde von Rafaella bearbeitet: 23.Oct.2008 - 17:17

[kahikatea]

Nachdem ich nun ebenfalls wieder rausgeflogen war (irgendwann innerhalb der letzten ca. 5 Stunden), habe ich mich jetzt auch auf die Suche nach möglichen Ursachen gemacht. Könnte es sein, daß es mit dem hier beschriebenen Problem mit ipb_stronghold-Cookies zu tun hat? Weiterer Hinweis

Wenn ich das richtig verstanden habe, benutzt offenbar die hiesige Forums-Software-Version eine Einstellung, nach der das automatische Wieder-Einloggen nur funktioniert, wenn sich die IP-Adresse der jeweiligen Userin zwischenzeitlich nicht zu gravierend geändert hat (zumindest wird von den Lesbenforen der ipb_stronghold-Cookie gesetzt - ich nehme an, er wird dann auch von der Datenbank ausgewertet, oder?).

Sofern ich das dort beschriebene Problem richtig verstehe, wäre dies eine mögliche Ursache für genau solche, schlecht reproduzierbaren Beobachtungen, bei denen manche Userinnen problemlos dauerhaft eingeloggt bleiben können, während andere Userinnen manchmal ausgeloggt werden, manchmal aber auch über längere Zeit ohne Forumsaktivität eingeloggt bleiben können: Diejenigen, deren IP-Adresse stets gleich oder ähnlich bleibt, können dauerhaft eingeloggt bleiben. Die, deren IP-Adresse sich u.U. beliebig ändert, werden automatisch ausgeloggt. Dies dürfte dann von der Art der Internet-Verbindung abhängen, mit der jemand ins Netz geht. Bei mir z.B. ist dies eine Mobilfunk-Verbindung, deren IP-Adresse sich sehr häufig und gravierend (bis in den zweiten 3er-Block hinein) ändern kann, was erklären könnte, daß ich fast nie über längere Zeit eingeloggt bleiben kann. Wer dagegen immer aus demselben Netzwerk surft (z.B. ein Uni- oder Firmen-Netz), könnte dagegen problemlos eingeloggt bleiben.

Für mich konnte ich dies zumindest soweit testen, daß ich gerade zwei mal absichtlich die IP-Adresse gewechselt habe, indem ich über eine andere Verbindung/anderen Provider ins Netz gegangen bin. In beiden Fällen wurde ich daraufhin sofort aus dem Forum ausgeloggt, d.h. zumindest für diese Bedingung ist das unfreiwillige Ausloggen reproduzierbar.

Vielleicht hilft das bei der Eingrenzung/Abhilfe? (IMG:style_emoticons/default/smile.gif) Benutzen diejenigen von euch, bei denen die Auslogg-Probleme auftreten, vielleicht auch unterschiedliche Internet-Verbindungen im Wechsel, oder Verbindungen, deren IP-Adressen sich stark ändern (möglicherweise auch bei sehr großen Providern der Fall)?

Ich habe allerdings auch noch nicht verstanden, welche Sicherheitsrisiken der ipb_stronghold-Cookie eigentlich abwehrt, bzw. welches Risiko umgekehrt damit verbunden wäre, diesen in der Forums-Software abzuschalten - sofern das überhaupt geht.

Der Beitrag wurde von kahikatea bearbeitet: 01.Nov.2008 - 03:49

[McLeod]

Ich habe allerdings auch noch nicht verstanden, welche Sicherheitsrisiken der ipb_stronghold-Cookie eigentlich abwehrt, bzw. welches Risiko umgekehrt damit verbunden wäre, diesen in der Forums-Software abzuschalten - sofern das überhaupt geht.

Wow, danke für's recherchieren. Ich geh mit meinem tragbaren Rechner an verschiedenen Punkten und darum mit verschiedenen Providern online. Schrub ich auch bereits. Sinn von stronghold scheint zu sein, dass Sessions nicht "gekapert" werden können. Also dass sich jemand auf meinen Rechner hackt und mit meinen Cookies im www spazieren geht und schlimmstenfalls auf meine Kosten Bücher, Computer oder ******** bestellt. Für Online-Shops durchaus sinnvollst.

McLeod grüßt herzlich

[kahikatea]

Sinn von stronghold scheint zu sein, dass Sessions nicht "gekapert" werden können. Also dass sich jemand auf meinen Rechner hackt und mit meinen Cookies im www spazieren geht und schlimmstenfalls auf meine Kosten Bücher, Computer oder ******** bestellt. Für Online-Shops durchaus sinnvollst.

So verstehe ich das auch - nur wie weit gehen die Risiken des Kaperns einer Forums-Session? Bei einer Forum-Admin könnte dies natürlich benutzt werden, um beliebig Threads zu "zerschießen", Posts zu editieren/löschen. Die tatsächliche Administration der Datenbank dahinter läuft aber vermutlich nicht auf dem Wege normaler Userinnen-Sessions (oder?). Generell bliebe die Möglichkeit, mittels gekaperter Session im Namen einer nichtsahnenden Userin zu versuchen, die Forums-Software in einer Weise zu hacken, die Gästen nicht möglich wäre (vorausgesetzt, es gäbe dazu Möglichkeiten wie hier nicht gepatchte, bekannte Exploits der Software). Vielleicht ist Letzteres der Gedanke hinter dieser Sicherheitsmaßnahme (in Foren wird ja üblicherweise nichts verkauft, und anderswo auch nicht über unverschlüsselte Verbindungen)?

Schlau und trotzdem sicher wäre es, wenn die Software lernfähig wäre in dem Sinne, daß sie z.B. bis zu einer bestimmten Höchstzahl mehrere solcher stronghold-Cookies verwalten könnte, damit man sich bspw. von jedem regelmäßig benutzten Netzwerk aus eben beim ersten Mal einloggen muß, aber man anschließend abwechselnd aus den IP-Adress-Bereichen z.B. der letzten drei benutzten Netzwerke eingeloggt bleiben könnte. Vielleicht könnten lizensierte Forums-Software-Betreiberinnen ja dem Hersteller so etwas vorschlagen. (IMG:style_emoticons/default/gruebel.gif)

Ansonsten gäbe es vielleicht eine Möglichkeit, ipb_stronghold pro Benutzerin ausschalten zu können, sofern man zu den (vmtl. eher wenigen) gehört, die solche stark variierenden IP-Adressen haben - immer vorausgesetzt, daß dies auch tatsächlich die Ursache dieses Problems seit der Umstellung ist?

Der Beitrag wurde von kahikatea bearbeitet: 01.Nov.2008 - 12:07