Jak działa wygasanie sesji w Coyote

0

Chciałbym zapytać, jaki jest czas wygasania sesji użytkownika w Coyote, oraz jakie warunki muszą być spełnione do tego (jeśli w ogóle jakieś)?

Nie znam się na takich zagadnieniach HTTP za dobrze (a już na pewno nie na PHP), pytam bardziej z perspektywy użytkownika końcowego (ale odpowiedź może być też techniczna, to czegoś się nauczę :) ).


(UPDATE: Adam, msm, przepraszam, że was wzmiankowałem, to nie jest aż taka ważna rzecz w sumie).


UPDATE2: Jeśli wygasanie sesji może mieć związek z ciastkami, to także chętnie dowiem się, jaki.

0

AFAIR czas życia sesji wynosi sporo – ze dwa lata. Jak chcesz aby wygasła szybciej to użyj przycisku Wyloguj. ;)

Silv napisał(a):

UPDATE2: Jeśli wygasanie sesji może mieć związek z ciastkami, to także chętnie dowiem się, jaki.

W każdym serwisie sesja ma związek z ciasteczkami – w nich są zapisane informacje na jej temat. Wywalisz ciastka to się wylogujesz. Tzn. serwer nie dowie się o tym do czasu aż załadujesz stronę. Wtedy sprawdzi ciastka, tych nie znajdzie więc usunie sesję i potraktuje Cię jako gościa.

Jeśli używasz programów do sprzątania systemu, takich jak CCleaner, to warto ochronić ciastka tych serwisów, w których chcesz być cały czas zalogowany. Wystarczy dodać je do wyjątków, jeśli sprzątacz posiada taką listę (ten wymieniony posiada).

0

@furious programming: dwa lata, mówisz? Dużo.

Mnie bardziej chodziło o coś takiego, jak wygasanie sesji np. na stronach banków, lub też mechanizmy z innymi warunkami niż upłynięcie określonego czasu.

0

Na stronach banków jest praktycznie to samo, tyle że czas jest znacznie krótszy (np. 10 minut) i często pokazany jest licznik, aby wiedzieć kiedy dokładnie sesja wygaśnie.

0

@furious programming: napisałeś bardzo ogólnie. Możesz to poprzeć algorytmem lub fragmentem kodu Coyote?

0

Prawdopodobnie chodzi Ci o to jak długo system będzie "pamiętał" użytkownika nie będzie go wylogowywał? Jeżeli tak, to aktualnie mam cookies ustawione do 2024 roku ;)

Natomiast pojedyncza sesja wygasa bodajże po 10 min od ostatniej aktywności. Wówczas zwiększany jest licznik wizyt w profilu :)

0

@Adam Boduch, nie bardzo rozumiem pierwszą część Twojej odpowiedzi.

Co do drugiej: czy to znaczy, że jeśli ktoś zechce po 10 minutach wykonać jakąś aktywność, to będzie musiał ponownie się zalogować? Trochę to przeczy moim doświadczeniom.

0

Nie, nie. Po 10 min nieaktywności użytkownik jest traktowany jako user offline i nie jest widoczny na liście :)

0

W takim razie nie ma czegoś takiego, że po iluś minutach/godzinach/dniach – zależnie lub nie od aktywności – użytkownik musi się ponownie zalogować?

To o co chodziło z tym 2024 rokiem?

0

Tak jest. Tak, po 2024 trzeba będzie ponownie zalogować się do systemu. :)

0

Rozumiem.

Pierwszy raz się z czymś takim spotykam, to na pewno jest dobre/bezpieczne/popularną praktyką?

1

Często w wielu formularzach logowania występuje dodatkowy checkbox oznaczający opcję zapamiętaj mnie a ciasteczko sesyjne zawierające session id jest ważne tylko do zamknięcia przeglądarki. Opcja zapamiętaj mnie jest realizowana inaczej. Tabele z user tokens i możliwość wylogowania z opcją zapamiętaj ze wszystkich urządzeń i też z jakimś krótszym czasem ważności np. 2 tygodnie. Analizując powyższy przypadek, teoretycznie mógłbym się zalogować na jakiejś kawiarence i zapomnieć się potem wylogować i jest ryzyko że jakiś troll mógłby coś napisać w moim imieniu. Korzystam z laptopa i smartfona. Wylogowując się z laptopa nadal pozostaję zalogowany na smartfonie i na odwrót. Czy są jakieś mechanizmy uwzględniające tego typu przypadki?

0

Nie masz racji - wylogowując się na jednym urządzeniu, blokujesz 4P od razu na wszystkich. Ja mam telefon, 2 kompy w domu oraz komp w pracy. Wylogowując się na którymkolwiek z nich, automatycznie zabijam sesję na wszystkich pozostałych.

Był o tym wątek kilka tygodni temu - Jak działa wylogowywanie?

3
Silv napisał(a):

Pierwszy raz się z czymś takim spotykam, to na pewno jest dobre/bezpieczne/popularną praktyką?

Każdy zaczyna kiedyś przygodę z Internetem.

0

@Marooned: rozumiem, że Ty tak to widzisz; niemniej, czy możesz odpowiedzieć na moje pytanie?

0

Już Ci przecież odpowiedziano. Tak działa funkcja typu "zapamiętaj mnie" na dowolnych stronach, gdzie się logujesz. Tworzy ciastko z bardzo długim czasem wygaśnięcia.

0

@Marooned: dziękuję. Zapytałem, bo nie wiedziałem, że tak to działa gdzie indziej. Poza tym nie wiązałem – i nadal trudno mi powiązać – funkcji "zapamiętaj mnie" (czymś, o co "prosimy" strony intencyjnie, explicite) z czymś, co dzieje się automatycznie, implicite.

Mam opory przed bezkrytycznym akceptowaniem tak długiego czasu wygasania sesji. Na przykład, na stronach banków wygasanie sesji jest np. po 10 minutach od "braku aktywności". Wszędzie, gdzie piszę o "wygaśnięciu sesji", rozumiem przez to "uniemożliwienie skorzystania przez serwer z tego samego identyfikatora sesji" (lub powiedziane innymi słowami, bardziej w terminach HTTP czy PHP).

Może być też tak, że czegoś nie rozumiem – jeśli tak, proszę o wytłumaczenie, gdzie błąd w moim rozumowaniu.

0

Facebook:
screenshot-20190517173116.png

Google:
screenshot-20190517173157.png

etc. Jak widzisz, checkbox "zapamiętaj mnie" to generalnie czasy minione. Obecny trend to zapamiętywanie na długo i zawierzenie użytkownikowi, że jak będzie chciał to się wyloguje albo skorzysta z okna prywatnego (co np. sugeruje Google) by po zamknięciu sesja przepadła.

Wspomniana przez Ciebie strona banku to dość wyjątkowy przypadek, gdzie zostawienie sesji ma zazwyczaj gorsze konsekwencje niż zostawienie fejsa (choć w dzisiejszych czasach...)

0

Hm, może tak być. Dzięki. Ale z drugiej strony – czy obecny trend w usługach Facebooka oraz Google powinien oddziaływać na nasze forum? Czy bezpieczeństwo takich usług nie różni się od bezpieczeństwa naszego forum (tzn. nie jest inaczej ukierunkowane)? Wreszcie, takie usługi na pewno są zarządzane przez większą liczbę osób – być może Ty, Adam oraz pozostali znacie się na tym tak samo dobrze, ale na pewno jest was mniej.

0

Mam wrażenie, że to jakaś ukryta kamera i trolling. Napisałem ile mogłem. Z mojej strony koniec tematu.

1 użytkowników online, w tym zalogowanych: 0, gości: 1