Auto-Login im Forum

[LonelyPixel]

Ich kenne die Bedeutung der zahlreichen Cookies dieses Forums nicht, aber eins ist dabei, das mich sehr vermuten lässt, dass die automatische Anmeldung hier nur für 24 Stunden bestehen bleibt. Das könnte erklären, warum ich mich sehr oft erstmal anmelden muss, wenn ich hierher komme. Bei nur einem Tag gar von automatischer Anmeldung zu sprechen, wäre wohl schon übertrieben. Aber das tut das Board auch gar nicht.

 

Kurz: Könnte bitte jemand die Cookie-Lifetime zum Autologin auf mehr als einen Tag erhöhen? Vielleicht ein halbes Jahr? Oder spricht da irgendwas dagegen?

[Tjod]

Also ich bleibe hier ohne Schwierigkeiten auf mehreren Systemen Wochenlang angemeldet. An der Cookie-Lifetime kann das also nicht liegen.

 

Ich habe eher die Vermutung, dass wenn sich die IP im ersten block ändert die Anmeldung nicht mehr gültig ist.

[LonelyPixel]

Mhm, kann schon sein. Ich hab halt nur nen normalen DSL-Dialup-Anschluss, bei dem man alle 24h getrennt wird. In welchem IP-Bereich ich dann rauskomme, weiß ich nicht. Aber ist es nicht Zweck der automatischen Anmeldung, dass sie immer funktioniert? Wenn die Session bei IP(-Bereich)-Wechsel unterbrochen wird, seh ich das ein, aber nicht für die Anmeldedaten.

 

Welche Cookies zur Anmeldung verwendet werden, weiß da nicht zufällig jemand, oder?

[Tjod]

Bei den meisten Providern bleiben die ersten zwei Blöcke immer identisch. Egal wie oft du bei dem eine neue IP erhält.

 

Wie genau die Anmeldung bei IP Bord Funktioniert weiß ich nicht.

Aber ich kenne andere Systeme da muss die im Cookie gespeicherte Sessionn ID und der Teilweise Passwort Hash und die restlichen Parameter des Cookies zu denen in der Datenbank passen. Wenn davon irgend was nicht mehr stimmt oder sich zu viele äußere Parameter (Browser Version IP Bereich usw.) geändert haben werden die kompletten Daten ungültig und man muss sich neu anmelden. Die Sessionn ID wird außerdem nach jeder Automatischen Anmeldung geändert.

 

Das hat alles den Zweck, das jemand der irgendwie an den Cookie kommt (Sicherheitslücke im Browser usw.) sich nicht damit anmelden kann.

[LonelyPixel]

Aha, dann muss ich mich da nochmal umschauen und mal in andere Software einlesen. In meinem Forum hab ich das einfach so gelöst, dass "automatische Anmeldung" bedeutet, dass die Anmeldedaten (bzw. ein Hash davon) als Cookie im Browser gespeichert werden und somit eine Anmeldung möglich ist. In neueren Versionen wird dafür nicht das Anmeldekennwort sondern ein separater Schlüssel verwendet. Kann natürlich sein, dass die beim IPB hier was anderes gemacht haben. Unsicherer wird's dadurch normalerweise auch nicht, denn alles, was meine Cookies klauen könnte, kann auch alle anderen Daten klauen, an die ein Webserver üblicherweise rankommt. Und wenn die automatische Anmeldung den Wechsel der IP-Adresse nicht überlebt (z.B. Standortwechsel bei mehreren Netzwerken), dann taugt sie einfach nichts. Meine Meinung.

[Tjod]

Unsicherer wird's dadurch normalerweise auch nicht, denn alles, was meine Cookies klauen könnte, kann auch alle anderen Daten klauen, an die ein Webserver üblicherweise rankommt.

Das glaube ich nicht ganz. Sicherheitslücken über die Webserver im Internet am Cookies kommen die nicht für sie gedacht sind gibt es regelmäßig. Einen Nutzer davon zu überzeugen auf einer anderen Seite Benutzername und Passwort einzugeben ist schon um einiges schwieriger (und für Spammer sicher schon uninteressant).

[LonelyPixel]

Ja, nur finden diese Angriffe über JavaScript (XSS) statt. JS kann auf Cookies zugreifen, und genauso gut kann man dabei auch gleich meine Browserkennung auslesen. Die bekommt der Angreifer vermutlich sogar schon frei Server geliefert, wenn mein Browser dort irgendwas hinschickt. Die IP hat er dann auch, aber die nutzt ihm nicht viel. Insofern: Security(Cookie + User-Agent) = Security(Cookie). Und: Mehr Code/Daten -> mehr Fehler.

 

Die Browserkennung kann hier aber auch nicht das Problem sein, da ich mich ja auf ein und demselben Rechner immer wieder neu anmelden muss. Es liegt jetzt entweder an einer IP-Bindung oder an der Gültigkeitsdauer von Cookies. Das bekomm ich aber auch selber raus.

[LonelyPixel]

Es scheint zumindest auch an der IP-Adresse zu liegen. Die hat sich eben von 93.104.133.253 (ppp-93-104-133-253.dynamic.mnet-online.de) zu 88.217.108.147 (ppp-88-217-108-147.dynamic.mnet-online.de) geändert. Scheinbar bekommt man mittlerweile die letzten verfügbaren IPv4-Adressen, die über den ganzen Adressraum verteilt sind. Kann bitte jemand diese dämliche IP-Prüfung zur automatischen Anmeldung abstellen?

 

In der Arbeit müsste ich ne statische IP haben, da hatte ich ja letztens auch das Problem, dass ich nicht angemeldet wurde. Das werd ich dann nochmal anschauen.