Option "[x] Angemeldet bleiben" fehlt nach WSC 5.4 im Login-Dialog

  • Affected Version
    WoltLab Suite 5.4

    Hallo!


    Warum fehlt im Login-Dialog nach dem Update auf WSC 5.4 die Option "[x] Angemeldet bleiben"? Ist diese durch die 2FA überflüssig geworden? Was bedeutet der Verzicht auf die Option, wenn Foren-User 2FA gar nicht nutzen?

    Gruß aus Südhessen

    • Official Post

    Hallo,


    beim Aktivieren dieser Option wurde die Benutzer-ID und ein Hash des Passworts für eine gewisse Zeit als Cookie gesetzt. Dies erlaubte es, den Benutzer automatisch beim Aufruf der Seite anzumelden, wenn die Session bereits abgelaufen war. Das ist aber nicht nur ineffizient (Cookies werden bei jeder Anfrage mitgeschickt), sondern auch unschön, weil so die Prüfsumme des Passwort permanent an den Server geschickt wird.


    Ab der WoltLab Suite 5.4 wird die Session-ID als kryptographisch signierter String als Cookie gespeichert, dies macht die Fälschung des Cookies unmöglich. Gleichzeitig werden Sessions von angemeldeten Benutzern für zwei Wochen auf dem Server vorgehalten, d.h. solange man innerhalb von maximal 14 Tagen die Seite erneut aufruft, ist die gespeicherte Session-ID gültig und die Gültigkeit der Session wird erneut auf 14 Tage gesetzt (sie kann sich damit unendlich verlängern). Die Checkbox "Angemeldet bleiben" wurde entfernt, weil sie in 5.4 technisch keinen Nutzen mehr hat.

  • Das heißt im Umkehrschluss, dass User sich nun immer aktiv abmelden müssen, wenn sie nicht über die Browser-Session hinaus angemeldet bleiben wollen - richtig?

    Gruß aus Südhessen

  • Ich verstehe noch nicht so richtig, warum ein Teil der User mit abgelaufenen Sessions Probleme haben. Was muss denn beachtet werden, damit dies nicht passiert? Spielen multiple offene Tabs oder multiple offene Browser-Fenster eine Rolle (und welche)?

    Gruß aus Südhessen

  • Hier spielen mitunter die im Webbrowser gewählten Einstellungen eine Rolle.


    So werden z. B. bei mir (gewollt) nach dem Beenden von Firefox folgende Daten automatisch gelöscht.




    Sofern nun ein User hier mehr oder weniger unbewusst die von mir gewählten strengen Einstellungen gewählt hat, wird er sich dagegen wundern, dass er mit abgelaufenen Sessions konfrontiert wird.

    Gruß Markus


    WoltLab Suite 5.3.14

    Edited once, last by Webmark ().

  • beim Aktivieren dieser Option wurde die Benutzer-ID und ein Hash des Passworts für eine gewisse Zeit als Cookie gesetzt. Dies erlaubte es, den Benutzer automatisch beim Aufruf der Seite anzumelden, wenn die Session bereits abgelaufen war. Das ist aber nicht nur ineffizient (Cookies werden bei jeder Anfrage mitgeschickt), sondern auch unschön, weil so die Prüfsumme des Passwort permanent an den Server geschickt wird.

    Aha. Und das wolltet ihr uns wann mitteilen? Heißt unsere Datenschutzerklärung ist unzutreffend: „Wenn du im Anmeldefenster die Option „Dauerhaft angemeldet bleiben“ auswählst, werden deine Zugangsdaten in verschlüsselter Form als Cookie gespeichert und du musst dich nicht mehr bei jedem Besuch erneut anmelden. Beim ersten Aufruf unserer Seite wird eine neue Sitzung gestartet, diese wird durch ein eindeutiges Cookie deinem Computer zugeordnet, um dich während deines Besuchs wiederzuerkennen. Dieses temporäre Cookie wird beim Beenden deines Browsers gelöscht.“

    Ab der WoltLab Suite 5.4 wird die Session-ID als kryptographisch signierter String als Cookie gespeichert, dies macht die Fälschung des Cookies unmöglich. Gleichzeitig werden Sessions von angemeldeten Benutzern für zwei Wochen auf dem Server vorgehalten, d.h. solange man innerhalb von maximal 14 Tagen die Seite erneut aufruft, ist die gespeicherte Session-ID gültig und die Gültigkeit der Session wird erneut auf 14 Tage gesetzt (sie kann sich damit unendlich verlängern).

    Argh! Solche nicht zwingend notwendigen Cookies sind grundsätzlich immer zustimmungspflichtig. Wie kann der Benutzer dieses Cookie ablehnen? ?(

    Die Checkbox "Angemeldet bleiben" wurde entfernt, weil sie in 5.4 technisch keinen Nutzen mehr hat.

    Das mag ja sein, aber die Funktion bleibt wichtig, denn man sollte klar unterscheiden: Technisch zwingend notwendige Session-Cookie, um während einer Sitzung wiederkannt zu werden (ohne Zustimmung des Benutzers), und optional zu setzendes Login-Cookie (mit Zustimmung des Benutzers), um auch beim nächsten Besuch wiedererkannnt zu werden, und das möchte man höchstens auf dem eigenen Rechner verwenden.

  • Solche nicht zwingend notwendigen Cookies sind grundsätzlich immer zustimmungspflichtig.

    Hier verhält es sich identisch mit beispielsweise Cookies für den Warenkorb: sie dienen der Funktionalität der Website.


    Cookies per se sind nicht zustimmungspflichtig, wenn sie der Funktionalität der Website dienen.

  • Nein. Nur wenn sie technisch zwingend notwendig sind. Wenn sich jemand durch einen Onlineshop bewegt, und nach und nach den Warenkorb befüllt, dann wird man dessen Inhalt per temporärem Sitzungs-Cookie speichern, und so verhält es sich auch bei der Anmeldung bei Websites. Das von der WoltLab Suite angewandte Verfahren ist überraschend und die Datenverarbeitung wohl unzulässig. Sie erfordert eine aktive Zustimmung.

    • Official Post

    Es ist nicht besonders hilfreich, dieselbe Diskussion in zwei Themen zu führen. Das aktuellere Thema mit einer entsprechenden Aufklärung findet man hier: