Session-Timeout überlisten (Tip)

[franc]

Was mich schon ein paar mal ziemlich gestört hat ist folgendes: ich bin im Administrationsbereich und bearbeite irgendwas. Ohne aber daran zu denken, dass ich schon eine Weile nicht abgeschickt habe und wenn ich dann auf Speichern drücke komme ich wieder ins Login und alles ist fort.

Eine Möglichkeit dem vorzubeugen ist z.B. in Firefox einen Tab zu schützen und zu sperren, dem auch alle 10 min. ein automatisches Neuladen zu verpassen. Dies geht mit dem Addon 'Tab Mix Plus'. Wenn man dann eigeloggt ist, wird mit dem (ansonsten unnützen) Tab immer rechtzeitig die Session wieder auf 0 gesetzt (glaub nach ca. 20 min. läuft das auf unserm Server ab, darauf hab ich aber keinen Einfluss).

Lokal hab ich natürlich die session-halbwertszeit (in der php.ini, session.gc_maxlifetime = 360000) auf 10 Lichtjahre (in Zeit umgerechnet) gesetzt :-)
Und in xtc_validate_password.inc.php die funktion xtc_validate_password noch vor dem ersten if mit
return true;
abgekürzt, damit ich nicht jedes mal ein richtiges passwort eingeben muss...

[patrick schmidt]

Nur mal so in den Raum gestellt.
Seit wir die Session time in der PHP.ini UND
in der C:\tools\Shop\admin\includes\functions\sessions.ph p
(Gambio Shop)
hochgesetzt haben, haben wir keine Probleme mehr mit dem Rauswurf.


MfG

[ersatzteilfachmann]

Danke, hat einwandfrei funktioniert

LG Heiko

Zitat:

Zitat von patrick schmidt

Nur mal so in den Raum gestellt.
Seit wir die Session time in der PHP.ini UND
in der C:\tools\Shop\admin\includes\functions\sessions.ph p
(Gambio Shop)
hochgesetzt haben, haben wir keine Probleme mehr mit dem Rauswurf.

Dafür ein mögliches Sicherheitsrisiko mit Hackern, die sich freuen, wenn Sessionlifetimes irre lang sind.
Ihr habt hoffentlich die Session an den Browser gekoppelt.

tuvalu

[Matlock]

Ich löse das "session" Ablaufproblem mit einem zusätzlichen Tab und einem meta refresh in der Seite zB der whos-online.php.

Klappt wunderbar.

mfg

[Werniman]

Ist vielleicht ne blöde Frage,aber wo finde ich die php.ini ? Die /admin\includes\functions\sessions.php war ja zu finden,von der php.ini fehlt jede Spur....

[Thomas M]

Die php.ini musst du erst erstellen wenn sie nicht vorhanden ist.
Hierzu würde es mich freuen wenn sich jemand die Mühe machen würde und genau erklährt wie man das macht.
Habe auch das Problem mit Strato Time out. Die mir zwar geschrieben haben was in die php.ini rein muss aber nicht wie ich sie erstelle.
Wäre nett wenn da jemand helfen könnte.
Gruß Thomas

Hier die Info von Strato:
Das von Ihnen verwendete Script ist mit einer Laufzeit von 40 Sekunden in den derzeitigen Servereinstellungen zu lang. Sie können die Laufzeit auf bis zu 120 Sekunden anheben, indem Sie die Funktion "max_execution_time" in einer eigenen php.ini-Daten festlegen.

Folgende Werte können Sie ändern:

allow_call_time_pass_reference
allow_url_fopen
max_execution_time maximaler Wert 120 (Sekunden)
upload_max_filesize maximaler Wert 4M (4 MB)
post_max_size maximaler Wert 8M (8 MB)
memory_limit maximaler Wert 32M (32 MB) - Bei Premiumpaketen seit Juni 2008 64 MB!
sendmail_from
safe_mode
register_globals
upload_tmp_dir
session.save_path
magic_quotes_gpc