ugrás a tartalomhoz

Új mobil Chrome hibás session kezelés?

mahoo · 2015. Ápr. 20. (H), 09.31
Sziasztok, 17-én befrissült a mobil Chrome-om a 42.0.2311.108-as verzióra, azóta a böngésző újraindítás nem generál új session-t, hanem folytatja az előbb bezártat.

Nézem a session adattáblámat és minden más böngésző új session rekordot hozz létre, és eddig a mobil chrome-om is de a frissítés után már nem.

Szerintem ez probléma, nekem mindenképp :), le tudná valaki még csekkolni, hogy jól látom-e.
‹ víruskeresés? Ti hogyan implementáljátok a ports & adapters-t? ›
 
1

Igen

gabesz666 · 2015. Ápr. 20. (H), 11.07
Jól látod, nálam is ugyanez a helyzet.
2

Akkor 'jó', köszi. Csak

mahoo · 2015. Ápr. 20. (H), 12.19
Akkor 'jó', köszi.
Csak akkor nekem kell kitalálni valamit, mert most ezáltal nem jól működik az oldalam.
3

Alapból nem szabadna

inf · 2015. Ápr. 20. (H), 14.01
Alapból nem szabadna ilyesminek történnie, ha normális session implementációd van, akkor 10-15 perc után törli a régi session-t, aztán amikor újra próbálja használni az illető a már töröltet, akkor ad neki egy másik id-t. Igazából még cron-os gc sem kell hozzá, elég ha megnézed a dátumot, és ha volt 15 perc inaktivitás, akkor törölni a session-t és újat létrehozni.
4

Igen, nem is azzal van a

mahoo · 2015. Ápr. 20. (H), 14.13
Igen, nem is azzal van a bajom, hanem amennyire en tudom, bongeszo ujrainditas utan a sessionnek egy uj id-val kellene indulnia. A lifetime 0ra allitasaval is probalkoztam de sikertelunul.mindtamt mondtam a frissitesig nem volt gond akarcsak a tobbi bongeszoben sem.
5

Nem

janoszen · 2015. Ápr. 21. (K), 13.22
Alapvetoen hibas az elkepzelesed, sot ez biztonsagi problemat is okoz (session fixation). Ha a user egy olyan session ID-vel jon oda, ami nalad nincs elteve, mindenkeppen ujat kell generalnod. Nem bizhatod arra, hogy a user bongeszoje torli a sutit.
6

Szvsz. csak jogosultság

inf · 2015. Ápr. 21. (K), 13.24
Szvsz. csak jogosultság változás előtt kell újat generálni (belépés, kilépés), persze ez a lényegen nem változtat.

Lehet, hogy én tudom rosszul, de mintha a php-be már tettek volna session fixation elleni védelmet, és nem fogad el lejárt vagy nem létező id-ket alapból. Hmm lehet, hogy csak suhosin része, passz.
7

Értem amit mondasz, de én nem

mahoo · 2015. Ápr. 21. (K), 18.50
Janoszen, értem amit mondasz, de én nem erről beszéltem, lásd az első bejegyzésem.
9

Nade

janoszen · 2015. Ápr. 22. (Sze), 14.06
Akkor kerdesem, mi tortenik?

1. helyzet:

- User jon, lesz sessionje es sutije.
- User becsukja a bongeszot, le kellene jarnia a sutinek
- User visszajon, a session a szerver oldalon meg megvan es a sutivel visszakapja a sessiont?

2. helyzet:

- User jon, lesz sessionje es sutije.
- User becsukja a bongeszot, le kellene jarnia a sutinek
- User sessionje szerver oldalon torlesre kerul
- User visszajon, es ugyanazzal a session ID-vel kap egy uj, ures sessiont?

3. helyzet:

- A bongeszo nem tolti ujra az oldalt, hanem a regi, cachelt oldalt jeleniti meg.

Az 1. helyzetben nincs problema, max annyi hogy nem torlod eleg gyakran a sessionoket vagy nem ellenorzod a legutolso hozzaferes idopontjat betolteskor. A 2. helyzetben fennall a session fixation problema. A 3. helyzet meg megint csak nem "problema", mert igy szol az RFC.
10

No akkor :) Szóval az 1.

mahoo · 2015. Ápr. 22. (Sze), 15.25
No akkor :)

Szóval az 1. helyzet áll elő.

És akkor most erősíts(etek) meg légy szíves, hogy jól tudom e:

lifetime-tól függetlenül, böngésző bezáráskor a sessionnek le kell járnia. Törlődni pedig ekkor még nem feltétlenül törlődik, de a 'közel jövőben' fog, ez egyéb ellenörző scripttel megtehető.

Ezeket a stackoverflow-on meg blogokon olvasom, nem magamtól vagyok ilyen 'okos'...
12

Nem

janoszen · 2015. Ápr. 22. (Sze), 20.53
Miert kellene? A suti megmarad amig a lifetime van. Alapvetoen Neked kell a szerver oldalon garantalni, hogy a session rendesen lejarjon.
13

Jobban utánaolvasva, ha 0 a

mahoo · 2015. Ápr. 24. (P), 21.14
Jobban utánaolvasva, ha 0 a lifetime (ez az alapbeállítás) akkor böngésző bezáráskor le kell járnia a session-nak. Persze ettől még megmarad, de lejárt.

Persze az új chrome-ban ez nem müxik, de az oka lehet a lentebb leírt dolog.
8

Belenézve a Poetro által

kuka · 2015. Ápr. 22. (Sze), 12.37
Belenézve a Poetro által frissen csiripelt Appot csinál a weboldalakból az új Chrome cikkbe, el tudom képzelni, hogy ami te „böngésző újraindítás”-ként fogalmazol meg, az Chrome szerint nem újraindítás volt, csak háttérbe vonulás, hogy az esetleg apposított weboldalak futását onnan fenntarthassa. Mely esetben a korábbi session cookie-k nem volt mikor törlődjenek.
11

Most hogy mondod, akár ez is

mahoo · 2015. Ápr. 22. (Sze), 15.27
Most hogy mondod, akár ez is lehet... A telomon lehetőség van az appok bezárására, ami eddig szerintem jól is működött, de az új verzióval ez megváltozott. Szóval akár lehet, hogy ez van a dolog mögött.