Cookies stürzen ab Einstellungen

[kahikatea]

Nachdem ich nun ebenfalls wieder rausgeflogen war (irgendwann innerhalb der letzten ca. 5 Stunden), habe ich mich jetzt auch auf die Suche nach möglichen Ursachen gemacht. Könnte es sein, daß es mit dem hier beschriebenen Problem mit ipb_stronghold-Cookies zu tun hat? Weiterer Hinweis

Wenn ich das richtig verstanden habe, benutzt offenbar die hiesige Forums-Software-Version eine Einstellung, nach der das automatische Wieder-Einloggen nur funktioniert, wenn sich die IP-Adresse der jeweiligen Userin zwischenzeitlich nicht zu gravierend geändert hat (zumindest wird von den Lesbenforen der ipb_stronghold-Cookie gesetzt - ich nehme an, er wird dann auch von der Datenbank ausgewertet, oder?).

Sofern ich das dort beschriebene Problem richtig verstehe, wäre dies eine mögliche Ursache für genau solche, schlecht reproduzierbaren Beobachtungen, bei denen manche Userinnen problemlos dauerhaft eingeloggt bleiben können, während andere Userinnen manchmal ausgeloggt werden, manchmal aber auch über längere Zeit ohne Forumsaktivität eingeloggt bleiben können: Diejenigen, deren IP-Adresse stets gleich oder ähnlich bleibt, können dauerhaft eingeloggt bleiben. Die, deren IP-Adresse sich u.U. beliebig ändert, werden automatisch ausgeloggt. Dies dürfte dann von der Art der Internet-Verbindung abhängen, mit der jemand ins Netz geht. Bei mir z.B. ist dies eine Mobilfunk-Verbindung, deren IP-Adresse sich sehr häufig und gravierend (bis in den zweiten 3er-Block hinein) ändern kann, was erklären könnte, daß ich fast nie über längere Zeit eingeloggt bleiben kann. Wer dagegen immer aus demselben Netzwerk surft (z.B. ein Uni- oder Firmen-Netz), könnte dagegen problemlos eingeloggt bleiben.

Für mich konnte ich dies zumindest soweit testen, daß ich gerade zwei mal absichtlich die IP-Adresse gewechselt habe, indem ich über eine andere Verbindung/anderen Provider ins Netz gegangen bin. In beiden Fällen wurde ich daraufhin sofort aus dem Forum ausgeloggt, d.h. zumindest für diese Bedingung ist das unfreiwillige Ausloggen reproduzierbar.

Vielleicht hilft das bei der Eingrenzung/Abhilfe? (IMG:style_emoticons/default/smile.gif) Benutzen diejenigen von euch, bei denen die Auslogg-Probleme auftreten, vielleicht auch unterschiedliche Internet-Verbindungen im Wechsel, oder Verbindungen, deren IP-Adressen sich stark ändern (möglicherweise auch bei sehr großen Providern der Fall)?

Ich habe allerdings auch noch nicht verstanden, welche Sicherheitsrisiken der ipb_stronghold-Cookie eigentlich abwehrt, bzw. welches Risiko umgekehrt damit verbunden wäre, diesen in der Forums-Software abzuschalten - sofern das überhaupt geht.

Der Beitrag wurde von kahikatea bearbeitet: 01.Nov.2008 - 03:49

[McLeod]

Ich habe allerdings auch noch nicht verstanden, welche Sicherheitsrisiken der ipb_stronghold-Cookie eigentlich abwehrt, bzw. welches Risiko umgekehrt damit verbunden wäre, diesen in der Forums-Software abzuschalten - sofern das überhaupt geht.

Wow, danke für's recherchieren. Ich geh mit meinem tragbaren Rechner an verschiedenen Punkten und darum mit verschiedenen Providern online. Schrub ich auch bereits. Sinn von stronghold scheint zu sein, dass Sessions nicht "gekapert" werden können. Also dass sich jemand auf meinen Rechner hackt und mit meinen Cookies im www spazieren geht und schlimmstenfalls auf meine Kosten Bücher, Computer oder ******** bestellt. Für Online-Shops durchaus sinnvollst.

McLeod grüßt herzlich

[Liane]

@kahikatea
Ich gehe eigentlich immer nur vom selben Anschluss aus ins Forum. Vielleicht liegt es dann am großen anBieter. (IMG:style_emoticons/default/gruebel.gif)

[regenbogen]

The plot thickens... @kahikatea, danke! (IMG:style_emoticons/default/flowers.gif)

Das scheint in die richtige Richtung zu gehen. (IMG:style_emoticons/default/thumbsup.gif)

Hoffen wir mal, dass unsere Tekkie-Strösen dem auf den Grund kommen, mir geht's nämlich genauso, und ich bin alles andere als begeistert... (IMG:style_emoticons/default/rolleyes.gif)

[kahikatea]

Sinn von stronghold scheint zu sein, dass Sessions nicht "gekapert" werden können. Also dass sich jemand auf meinen Rechner hackt und mit meinen Cookies im www spazieren geht und schlimmstenfalls auf meine Kosten Bücher, Computer oder ******** bestellt. Für Online-Shops durchaus sinnvollst.

So verstehe ich das auch - nur wie weit gehen die Risiken des Kaperns einer Forums-Session? Bei einer Forum-Admin könnte dies natürlich benutzt werden, um beliebig Threads zu "zerschießen", Posts zu editieren/löschen. Die tatsächliche Administration der Datenbank dahinter läuft aber vermutlich nicht auf dem Wege normaler Userinnen-Sessions (oder?). Generell bliebe die Möglichkeit, mittels gekaperter Session im Namen einer nichtsahnenden Userin zu versuchen, die Forums-Software in einer Weise zu hacken, die Gästen nicht möglich wäre (vorausgesetzt, es gäbe dazu Möglichkeiten wie hier nicht gepatchte, bekannte Exploits der Software). Vielleicht ist Letzteres der Gedanke hinter dieser Sicherheitsmaßnahme (in Foren wird ja üblicherweise nichts verkauft, und anderswo auch nicht über unverschlüsselte Verbindungen)?

Schlau und trotzdem sicher wäre es, wenn die Software lernfähig wäre in dem Sinne, daß sie z.B. bis zu einer bestimmten Höchstzahl mehrere solcher stronghold-Cookies verwalten könnte, damit man sich bspw. von jedem regelmäßig benutzten Netzwerk aus eben beim ersten Mal einloggen muß, aber man anschließend abwechselnd aus den IP-Adress-Bereichen z.B. der letzten drei benutzten Netzwerke eingeloggt bleiben könnte. Vielleicht könnten lizensierte Forums-Software-Betreiberinnen ja dem Hersteller so etwas vorschlagen. (IMG:style_emoticons/default/gruebel.gif)

Ansonsten gäbe es vielleicht eine Möglichkeit, ipb_stronghold pro Benutzerin ausschalten zu können, sofern man zu den (vmtl. eher wenigen) gehört, die solche stark variierenden IP-Adressen haben - immer vorausgesetzt, daß dies auch tatsächlich die Ursache dieses Problems seit der Umstellung ist?

Der Beitrag wurde von kahikatea bearbeitet: 01.Nov.2008 - 12:07

[McLeod]

Vielleicht ist es auch nur gewohnter Luxus, sich nicht dauernd neu einloggen zu müssen. ebay, amazon und auch andere Communities sparen sich Luxus und Sicherheitslückenmöglichkeit, indem entweder immer oder sobald eine wichtige Aktion (kaufen, posten) ansteht das Passwort abgefragt wird. Natürlich ist es unangenehm, wenn das Häkchen suggeriert "hey, ich kann eingeloggt bleiben", aber bestimmte technische Bedingungen daran geknüpft sind, die nicht bekannt sind. Es ist aber (imho) nicht unangenehm, sich einfach jedes Mal oder 1x am Tag einloggen zu müssen. Und ich wechsle selten mehr als 2x das Netz am Tag, köme beispielsweise also auf bis zu 2 Logins am Tag... ;-)

[Liane]

Gestern war ich abends nach Stunden noch eingeloggt - und nun immer noch. Geändert hatte ich nichts.

[pandora]

hm, ich muß mich nach ein zwei stunden auch nicht neu einloggen, nach einem arbeitstag oder einer nacht, allerdings schon.

[Liane]

hm, ich muß mich nach ein zwei stunden auch nicht neu einloggen, nach einem arbeitstag oder einer nacht, allerdings schon.

Nach der Wende (IMG:style_emoticons/default/rolleyes.gif) musste ich meist jedesmal nach einer etwas längeren Pause (oder einem sonstigen mysteriösen, bisher nicht damit in verbindung gebrachten Ereignis)

Der Beitrag wurde von Liane bearbeitet: 03.Nov.2008 - 10:45

[blue_moon]

so, so... jetzt haben also auch benachbarte länder ihre wende bekommen... (IMG:style_emoticons/default/biggrin.gif)

jo, vielen dank an alle, die sich hier in die überlegungen eingeklinkt haben. seit 'der wende' gibt es diesen stronghold-cookie, der die kekse vor diebstahl schützen soll. und in der tat kann eine geklaute online-identität schon üble nachwirkungen haben, auch wenn hier nichts verkauft werden soll (neudeutsche stichworte: mobbing, stalking, spamming...). diese stronghold-cookies sind aber wohl in erster linie für eine kommerzielle nutzung gedacht, die mit der forumssoftware auch möglich wäre, von uns allerdings weitestgehend abgeklemmt wurde, weil wir sie eh nicht brauchen. dass die stronghold-cookies genutzt werden, ist allerdings die standard-einstellung, die bislang auch unverändert war. probieren wir's also jetzt mal ohne.

ich nehme an, er wird dann auch von der Datenbank ausgewertet, oder?

die cookies werden nur für die jeweils letzte session hinterlegt und dann abgeglichen. richtig ausgewertet werden die offenbar nicht. und schlau sind die auch nicht wirklich - es wird genau eine session/userin gespeichert und die einstellungen gelten für alle oder keine - für administratives gibt es allerdings sonderkekse.

[Rafaella]

ich verstehe
nur das hier (IMG:style_emoticons/default/roetel.gif)

[Rafaella]

heute gab es kleine probleme mit der permanent-anmeldung. geht doch! (IMG:style_emoticons/default/biggrin.gif)

[blue_moon]

mit der richtigen motivation... (IMG:style_emoticons/default/biggrin.gif) - und der richtigen unterstützung. (IMG:style_emoticons/default/flowers.gif)

[Mausi]

Hm, ich bin trotzdem nicht permanent angemeldet und muss mich immer erneut einloggen.
bzw. ich habs jetzt mal mit der "einloggen" & "permanent einloggen" -fkt gemacht - mal kucken wies dann ausschaut.

edit: nein - ich werd immernoch ausgeloggt

Mir machts aber nix aus - wenn ich die Einzige bin, dann lasst es so, ist ok für mich (IMG:style_emoticons/default/smile.gif)

Der Beitrag wurde von Mausi bearbeitet: 04.Nov.2008 - 18:19

[Liane]

Ich bin jetzt seit vorgestern drin. (IMG:style_emoticons/default/pfeif.gif)

[regenbogen]

Ich nicht. Sobald ich meinen Browser zumache, bin ich draußen. (IMG:style_emoticons/default/sad.gif)

[pandora]

Ich nicht. Sobald ich meinen Browser zumache, bin ich draußen. (IMG:style_emoticons/default/sad.gif)

ja, ich auch (IMG:style_emoticons/default/gruebel.gif)

[pandora]

Ich nicht. Sobald ich meinen Browser zumache, bin ich draußen. (IMG:style_emoticons/default/sad.gif)

ja, ich auch (IMG:style_emoticons/default/gruebel.gif)

heeeeej, jetzt fliege ich scheinbar nicht mehr. (IMG:style_emoticons/default/gruebel.gif)
habe mich heute morgen um 5.30h oder so ausgeloggt, jetzt wieder ein und siehe da, ich musste mich nicht neu anmelden. (IMG:style_emoticons/default/rolleyes.gif)

sag mal frau blau, wie hast du denn das hinbekommen ?
danke für dein mühen (IMG:style_emoticons/default/flowers.gif)

[datda]

Was ich auch witzig finde, im IE werde ich, wenn ich mich eingelogge, danach gar nicht raus geworfen, auch bei mehrtägigem Abwesenheit nicht, bleibe also dauerhaft im Forum, während ich im Firefox nach einer bestimmten Zeit (1 oder 2 Stunden?) mich jedes Mal wieder neu einloggen muss.
Einstellungen in beiden Browser wurden überhaupt nicht geändert.

Auch ein Fall für Mrs. Sherlock Holmes in blue?(IMG:style_emoticons/default/gruebel.gif) (IMG:style_emoticons/default/rolleyes.gif)

[McLeod]

bin jetzt immer und überall drin (IMG:style_emoticons/default/biggrin.gif)