KeyHelp Community

Hallo liebe KeyHelp-Community,
ich hatte seit 2-3 Wochen das Problem, dass ich immer wieder bei KeyHelp ausgeloggt wurde, weil die Session abgelaufen war. Als ich hatte mich bspw. eingeloggt und beim ersten Klick auf irgendwohin war die Session bereits wieder abgelaufen. Wenn ich mich dann erneut einloggte, dann ging es vll. kurz aber nach ein paar weiteren Klicks war die Session schon wieder abgelaufen. Ich erhöhte dann die TimeOut-Zeit von 24 Minuten auf 24 Stunden, doch leider behob diese Einstellung das Problem nicht. Er als ich in die aktiven Sessions geguckt habe wurde mir klar, wo das Problem liegt. Es waren insgesamt 25 Sessions mit meinem Account aktiv. Also habe ich alle mit einem Schlag beendet und ich loggte mich einmal aus und wieder ein. Als ich dann wieder in die aktiven Sessions guckte, stellt ich fest, dass da wieder 2 Sessions mit meinem Account (selbe Login-Zeit, selbe IP) erstellt wurden (siehe Anhang). Und jetzt wird auch klar, wie mein Problem zu Stande kam. Ich loggte mich ein, es wurden 2 Sessions erstellt und während bei einer die Zeit der Untätigkeit immer wieder auf 0 gesetzt wurde, wenn ich was gemacht habe, lief bei der anderen Session permanent die Zeit runter. Somit hatte ich ganz viele Sessions, die bereits wieder abgelaufen waren, die immer wieder dazu führten, dass ich ausgeloggt wurde. Hat noch jemand dieses Problem und weiß jemand wie das zu lösen wäre?

Btw: Dieses Phänomen der doppelten Session scheint nicht bei jedem Login aufzutreten.

Edit: Ich habe es jetzt noch mit einem anderen Adminaccount probiert. Hier tritt das selbe Problem auf. Allerdings ist es wohl so, dass die Zeit einer Session gar nicht abgelaufen sein muss. Es wird teilweise einfach eine neue Session erstellt, wenn man irgendetwas macht und dann fliegt man raus. Was mir noch aufgefallen ist, ist dass die Sessions manchmal mit der IPv6-Adresse des Benutzers angelegt werden und manchmal mit der IPv4-Adresse.

Hallo,

Beschriebe einmal dein Setup bzw. des des Servers. Wie greifst du auf KeyHelp zu, hängen da noch irgendwelche Dienste / Proxys dazwischen etc.? Welche Besonderheiten gibt es beim Server?

Und nur um das auch auszuschließen, du sagst, dass das Problem seit 2-3 Wochen auftritt - Das Problem existiert auch nach einem Update auf KeyHelp 20.3 immer noch?

Alexander wrote: ↑Tue 1. Sep 2020, 15:21 As Tobi has already mentioned, in the current KeyHelp version the session is bound to your IP.

Furthermore I have now implemented several additional security measures to protect against other attack vectors.
All part of the upcoming KeyHelp 20.3.

Hi,

die Session ist an die IP gebunden. Wenn Dein Router/Netzwerk also zwischendurch die IP wechselt zwischen IPv4 und IPv6 wirst Du eigentlich zurecht rausgeschmissen.

Gruß Arne

Also eigentlich ist an dem Server nichts wirklich besonders. Er hat selbst eine IPv4 und eine IPv6-Adresse. Es läuft Debian 10 drauf und ansonsten habe ich an der Konfiguration wie den Ports zum Beispiel nichts geändert. Und ja, das Problem besteht auch nach dem Update zu 20.3 weiter. An meinem Router habe ich eigentlich auch nichts geändert in der Zeit. Aber ich werde mal schauen, ob ich diesbezüglich was herausfinden kann.

Auf KeyHelp selbst greife ich über den Browser zu, indem ich den Hostname aufrufe. Das Problem besteht sowohl mit Mozilla als auch mit Chrome und auch auf dem Handy habe ich das Problem.

Edit: Meine IP-Adressen ändern sich auch nicht. Mein Router wählt sich halt grundsätzlich IPv4 & IPv6 ein, wenn ich mich nicht täusche. Zumindest wird beides erkannt, wenn ich auf wieistmeineip.de gehe.

ich sehe ebenfalls meine Session doppelt:



ist ebenfalls schon auf der version 20.3

batZen wrote: ↑Thu 29. Oct 2020, 18:02 ich sehe ebenfalls meine Session doppelt:



ist ebenfalls schon auf der version 20.3

Kann ich bestätigen, bin auch 2x eingeloggt.

Das ist bei mir auch so.

Hier ist es heute auch sehr anfällig gegenüber Session-Ende Rausschmiß (nach sehr kurzer Zeit)

Doppelte Sessions kann ich reproduzieren, schaue ich mir an.

Das Sessions zu kurz oder zu lang sind (wie hier geschildert: viewtopic.php?f=5&t=10082) kann ich leider nicht feststellen. Ich schaue es mir dann gleich alles noch einmal an. Für neue Erkenntnisse wäre ich aber trotzdem sehr dankbar .

Möglich das die erste Session der Login ist und die 2. Session durch den 2FA kommt?

Gruß Arne

Problem der doppelten Sitzungen soeben behoben.

Auswirkung haben diese doppelten Sitzungen (technisch) aber nicht wirklich, somit auch nicht wirklich ursächlich für das von Sazambi und mhagge erwähnten Problem des zu schnellen zu schnellen Ausloggens. Kann dir aber trotzdem mal die korrigierte Datei zur Verfügung stellen, damit du es selbst testen kannst).

@Sazambi, hast du irgendwelche Browser-Plugins Aktiv, die die Browserkennung verschleiern oder damit irgendwelche Sachen anstellen? Kannst du einmal alle Erweiterungen deaktivieren und schauen, ob das Problem noch besteht?

Die geänderte Datei wäre super.

Ich werde nachher nochmal umfangreich testen. Allerdings ist das Problem bei mir mit unterschiedlichen Browsern und sowohl auf dem PC als auch am Handy aufgetreten. Ich werde berichten, was bei den weiteren Tests raus kommt.

Kann es möglicherweise wirklich an diesem Wechsel zwischen IPv4 & IPv6 liegen? Kann mir allerdings nur schwer vorstellen, dass das Problem diesbezüglich bei mir liegt. Mein Router wählt sich, wie bereits erwähnt, mit IPv4 & IPv6 ein. Und bis vor wenigen Wochen gab es bei mir da auch noch keine Probleme.

Ein IP-Wechsel wäre ebenso wie ein Browserwechsel (URL + Session-ID kopieren und in anderem Browser wieder einfügen) definitiv ein Grund dafür, das eine Session aus Sicherheitsgründen beendet wird (so wie ShortSnow oben schon schrieb). Ich würde die Ursache somit eher an geänderten Router-Einstellungen / beim Provider suchen.

Zum Austausch der Datei folgenden Befehl (NUR für KeyHelp 20.3):

Nachtrag:
Ist der Patch nur mit Version 20.3 kompatibel?

Ich hab meinen Teil gelöscht, sonst wird es unübersichtlich.
Bleibt die Frage nach der Versionsnummer