KeyHelp erstellt doppelte Sitzungen [GELÖST]

[v3ng]

Das mehrfache Anmelden nutzt ich tatsächlich auch sehr häufig, wenn das dadurch nicht nutzbar ist, wäre das natürlich ungünstig.

Was ist denn generell der Grund, die Sessions an die IP zu binden?
Wird das nicht normalerweise einfach als lokale Session/ Cookie gehandhabt?

Zumindest habe ich bei keinem anderen Backend das Problem.

[Alexander]

Was ist denn generell der Grund, die Sessions an die IP zu binden?

An der URL hängt aktuell die Session-ID - sollte man diese URL nun aus versehen in die Weite Internetwelt posten, könnte so jeder, der auf die URL klickt während man noch eingeloggt ist auf das eingeloggte Konto im KeyHelp zugreifen. Mit der Bindung an die IP (und User-Agent) kann dies nicht mehr passieren.

Da die Session ID nun aber an der URL hängt, kann man somit ganz einfach dieses Mehrfach-Eingeloggt-Sein abbilden, da man so gleichzeitig beliebig viele Sessions aktiv halten kann. Das ist über Cookies dann nicht mehr so einfach (bzw. nicht mehr so schön, wenn es ordentlich sein soll).

Ich hatte die Nacht noch 1-2 Ideen, die ich bei Gelegenheit mal testen werde, vielleicht gibt es dann "Best of both worlds".

[Alexander]

Hier einmal kurz zusammengefasst, was sich bei diesem Thema mit kommenden Update für den Benutzer ändern wird.

1) - Session sind nun nicht mehr zwangsläufig an die IP gebunden. Unter "Konfiguration" -> "Login & Sitzungen" kann man dieses Feature jetzt zu und abschalten. Bei Neuinstallationen ist es deaktiviert, bei Update auf KeyHelp 21.3 ist es aktiviert (und spiegelt somit das aktuelle Verhalten wieder).

2) - Die Session-ID ist nun nicht mehr Teil der URL. Dies war notwendig, um 1) überhaupt umsetzen zu können, kommt aber mit einer kleinen Einschränkung 3).

3) - Es kann aktuell an eurem Rechner immer nur eine Session (pro Browser) aktiv sein. Man kann somit nicht mehr gleichzeitig in mehreren Benutzeraccounts aktiv sein. Man kann aber natürlich weiterhin als Admin ohne Passwort in einen Benutzeraccount springen. In dem Moment, wenn man z.B. auf den Benutzernamen klickt wird man wie gewohnt zu diesem Benutzer gesprungen (diesmal im selben Browser-Tab). Wenn man nun wieder zurück zum Admin springen möchte, gibt es oben rechts neben dem Namen dann eine Schaltfläche "Zurück zum Administrator".
Wenn man bisher das gleichzeitig-eingeloggt-sein exzessiv genutzt hat, muss man sich hier ein klein wenig umstellen. Ich hab es z.B. recht häufig genutzt, aber wenn man sich erstmal dran gewöhnt hat, ist es (für mich persönlich) bei weitem nicht so schlimm, wie ursprünglich erwartet und eigentlich auch recht angenehm - hat den positiven Nebeneffekt, man hat am Ende nicht mehr so viele Tabs offen etc...

(Unter der Haube gibts in diesem Zuge natürlich noch zahlreiche andere Änderungen / (Sicherheits-) Verbesserungen etc., die aber die User Experience nicht weiter betreffen)

[Tobi]

Wenn man bisher das gleichzeitig-eingeloggt-sein exzessiv genutzt hat, muss man sich hier ein klein wenig umstellen.

Moin Alex,

also ich persönlich komme mit dem neuen Login-Verhalten wunderbar klar.
Allerdings gibt es einen Kollegen der gerne wieder das alte Verhalten zurück hätte.

So wie ich das sehe kann man das nicht mehr zurückschalten.
Oder habe ich was übersehen?

[Alexander]

Hallo Tobi,

nein das ist nicht möglich. Das komplette Session-System hat sich geändert.

[Tobi]

Danke für deine Antwort.
Dann möge er fortan mehrere Browser verwenden