"staendig" = jedes mal, wenn die internetverbindung getrennt wurde?
wenn ja, dann ist das ein "feature" von helma (dem javaserver oder wie man das nennen soll der hier benutzt wird)..
IP = WAN bleibt aktiv, ohne unterbrechung. ich fische mich gerade durchs netz, um das prob einzugrenzen...
ich glaub, es ist mit dieser/n variablen verknüpft session.touch();
res.writeln(session.lastActive);
sowie session.data.lastclick = new Date();
und schöpft wohl die aktivität/passivität mit einem timeout(?) ab, welche vielleicht auch manchmal etwas hakeln könnte. mehr weiss ich leider momentan auch noch nicht. aber drinne steck ich leider auch nicht in deren server...
allerdings bin ich mit meinem abgesicherten fox höchstwahrscheinlich nicht für cross site scripting anfällig (aber man sollte ja niemals nie sagen).
If a request appears to be coming from an ip address that doesn't
match the session cookie, a new session is automatically created.
und genau das kann nicht sein, weil meine bestehende ip ja nicht 2mal vergeben wird, da sie ja quasi von mir annektiert wurde. andererseits könnte ja der server eventuell selbst schluckauf bekommen haben, wenn die ip nicht sauber zugeordnet werden würde (was ich allerdings auch nicht wirklich glauben kann, oder doch?). - ich tippe ja nachwievor noch auf eine problematik in der behandlung der hop-sessions...
aber du könntest schon recht haben mit diesem cross site scripting-schutz. oder es beissen sich intern auch nur zwei java-variablen? - jetzt sollte man aber wenigstens noch wissen, wie lang die timeout-zeit hier bei 2day wirklich ist...
gruss
guan
ps. die "Automatische Anmeldung" nutzt bei mir übrigens auch nicht wirklich etwas.
ja, weil die oben genannte option hier nicht aktiviert ist. d.h. sobald sich an den ersten drei oktetts deiner ip etwas aendert, wird der twoday-anmeldecookie verworfen.
diese ersten drei oktetts aendern sich z.b. u.U. auch, wenn der internetprovider sehr viele proxyserver hat, diese sich in verschiedenen subnetzen befinden und per roundrobin angesprochen werden.. (beispiel: t-online)
bezueglich des timeouts konnte ich spontan nur folgende (nicht verifizierte) aussage finden: http://help.twoday.net/stories/704683/#706753
du meinst die isp-intern jumpenden bzw. switchenden proxies? das könnte allahdings auch möglich sein. und die 30 minuten könnte ich glatt bestätigen, so rein gefühlsmässig. da wären - mit hinblick auf die usability - jedoch wenigstens 60 minuten etwas besser und auch grosszügiger bemessen. vielleicht gibt sich 2day diesbezüglich einen ruck, das mal zu erhöhen...
danke für die infos, hawk. noch ne nachfrage: wie wird eigentlich das 4te oktett verschlüsselt? md5 is das wohl nicht, ne?
ich habe mir den helma source nie angeschaut.. aber das 4. oktett (tatsaechlich, das schreibt man mit zwei t - peinlich) duerfte (der logik nach) ueberhaupt nicht benutzt werden.. denn es wird ja auch spaeter nicht beachtet. wie dieser sessioncookie genau generiert wird, wird dir aber hannes sicherlich erklaeren koennen.. oder du kannst halt auch selber in den helma source schauen (vermutlich hier oder hier oder zumindestens irgendwo da in der naehe) :)
muss dir nix peinlich sein, denn ich las eigentlich eher das octet im englischen, daher? - du bist aber auch ziemlich genau, oder? wohl programmierer? *g*
ich denke, so tief will ich denn da nun doch gar nicht hineinsteigen (hab schon genug mit dem php-zeugs zu tun). insofern reichen mir auch schon die hintergrundinfos aus, um mal halbwegs nachvollziehen zu können, wie 'dat helma' eigentlich so funkt. danke dir... :o)
(über hannes bin ich via michis blog auch schon gestolpert *hoppla-wortverdreher*/edited)
same prob.
aber ich denke, es gibt ohnehin noch einiges andere, mit welchem man noch wesentlich gerner seine gute zeit zerschrotten könnte, denk ich mal so... :o)
wenn ja, dann ist das ein "feature" von helma (dem javaserver oder wie man das nennen soll der hier benutzt wird)..
nein.
ich glaub, es ist mit dieser/n variablen verknüpft
session.touch();
res.writeln(session.lastActive);
sowie
session.data.lastclick = new Date();
und schöpft wohl die aktivität/passivität mit einem timeout(?) ab, welche vielleicht auch manchmal etwas hakeln könnte. mehr weiss ich leider momentan auch noch nicht. aber drinne steck ich leider auch nicht in deren server...
http://grazia.helma.org/pipermail/helma-dev/2005-April/001798.html
dieser timeout bei inaktivitaet kann recht einfach umgangen werden, indem man beim login den haken vor "Automatische Anmeldung aktivieren" setzt.
Ich aktiviere sie bei jeden 2. oder 3. mal und NICHTS passiert!
interessanter tip.
If a request appears to be coming from an ip address that doesn't
match the session cookie, a new session is automatically created.
und genau das kann nicht sein, weil meine bestehende ip ja nicht 2mal vergeben wird, da sie ja quasi von mir annektiert wurde. andererseits könnte ja der server eventuell selbst schluckauf bekommen haben, wenn die ip nicht sauber zugeordnet werden würde (was ich allerdings auch nicht wirklich glauben kann, oder doch?). - ich tippe ja nachwievor noch auf eine problematik in der behandlung der hop-sessions...
aber du könntest schon recht haben mit diesem cross site scripting-schutz. oder es beissen sich intern auch nur zwei java-variablen? - jetzt sollte man aber wenigstens noch wissen, wie lang die timeout-zeit hier bei 2day wirklich ist...
gruss
guan
ps. die "Automatische Anmeldung" nutzt bei mir übrigens auch nicht wirklich etwas.
diese ersten drei oktetts aendern sich z.b. u.U. auch, wenn der internetprovider sehr viele proxyserver hat, diese sich in verschiedenen subnetzen befinden und per roundrobin angesprochen werden.. (beispiel: t-online)
bezueglich des timeouts konnte ich spontan nur folgende (nicht verifizierte) aussage finden: http://help.twoday.net/stories/704683/#706753
aah.
danke für die infos, hawk. noch ne nachfrage: wie wird eigentlich das 4te oktett verschlüsselt? md5 is das wohl nicht, ne?
nö.
ich denke, so tief will ich denn da nun doch gar nicht hineinsteigen (hab schon genug mit dem php-zeugs zu tun). insofern reichen mir auch schon die hintergrundinfos aus, um mal halbwegs nachvollziehen zu können, wie 'dat helma' eigentlich so funkt. danke dir... :o)
(über hannes bin ich via michis blog auch schon gestolpert *hoppla-wortverdreher*/edited)
dito.
aber ich denke, es gibt ohnehin noch einiges andere, mit welchem man noch wesentlich gerner seine gute zeit zerschrotten könnte, denk ich mal so... :o)