[FR] Cookielaufzeit bei Adminzugang

[BlackSavior]

Hallo,

ich hatte mich gestern in den TBW eingelogged, danach das Fenster geschlossen und war etwas überrascht, dass ich mich heute garnicht einloggen musste. Das sehe ich bei einem Admin-Zugang zu einem so sensiblen System etwas kritisch. Andere Leute am selben Rechner, Cookies highjacking, etc.

Derzeit ist das Cookie noch bis 03-09-2018 21:29:59 gültig.

Wollt Ihr das Expire nicht lieber auf "Session" bzw 0 stellen? Sprich Fenster zu -> Auto Logout.

Gruß Oliver

[Dennis]

Hallo Oliver,

ich habe mal das "Problem" entfernt. Es handelt sich hier eher um einen Änderungswunsch oder ein Feature-Request. Wenn sollte sowas meiner Meinung nach in der GUI konfigurierbar sein wie lange der Cookie hält. Ich persönlich finde es nämlich z.B. sehr komfortabel mich nicht jedes Mal einzuloggen.
Bei mir am Rechner oder auch nur im Netz gibt es niemanden der am TB rumdoktoren würde außer mir. Ich verstehe auch deinen Ansatz, diese Situationen gibt es sicher auch. Aber es sollte wenn ein Weg gefunden werden der es dann nicht für die Einen auf Kosten der Anderen verbessert.

[StefanW]

Hallo Oliver,

wir hatten diese Fragestellung am Anfang des Betatests schon und da hab ich auch alle Betatester gebeten, sich zu melden und Ihre Meinung dazu darzulegen:

Das Ergebnis: Etwa soviele unterschiedliche Meinungen wie abgegebene Stimmen. Jeder hatte eine recht individuelle Ansicht, woraus wir gesehen haben, dass es da keinen einfachen eindeutig umsetzbaren Weg gibt, sondern man das einstellbar machen muss.

Da haben wir uns erstmal in der BETA-Phase auf neuere und - in unseren Augen - wichtigere Funktionen gestürzt, aber können das Thema dann durchaus nochmal angehen.

Bitte Eure Vorschläge und Wünsche zum Thema "Dauerhaftigkeit einer Anmeldung" hier angeben

lg

Stefan

PS: Ich habe mal einen FR draus gemacht. Muss der jetzt noch verschoben werden?

[KNXer77]

Bitte konfigurierbar machen. Keine festen Vorgaben. hat aber noch Zeit. So wie es jetzt ist ist es auch ok.

[tws88_user]

Hallo Stefan,

unabhängig von der Frage nach Vorschlägen und Wünschen. Ohne hier schulmeistern zu wollen - ich würde das Thema an eurer Stelle auf den Zeitpunkt verschieben, zu dem es in die Integration des Security-Tokens geht. Dann ließe sich das Thema Anmeldesicherheit und Laufzeit doch in einem Aufwasch erledigen.

[gbglace]

Hallo,
ja im Zusammenhang mit dem Security-Token finde ich es auch ausreichend umzusetzen. Mit der derzeitigen User / PW Authentifizierung habe ich kein Problem, da beim TWS die Anmeldung im Browser hinterlegt habe, da bekomme ich gar nicht mit ob das nun neu angemeldet wurde oder noch die laufende Anmeldung war.

Mit der Tokenaktivierung wird es dann natürlich spannender.
Wenn ich z.B. im Home-Office bin schaltet sich die eine Verbindung auch immer recht schnell "ab" ,so dass ich zum starten einer neuen Applikation immer neu mit dem Token hantieren muss, die gestarteten Applikationen hingegen kann ich auch mal zur Mittagspause unbenutzt lassen. Das etwas unbequem.

[Dante]

Akuten Handlungsbedarf seh ich dafür auch nicht, mein Vorschlag wäre:

Standard:
Session-Login => Auto-Logout bei Browser zu
(wäre bei mir damit auch immer eingeloggt, da der Browser eigentlich immer offen bleibt und der Rechner nur in Standby bzw. Ruhezustand geht)


Optionale Idee zur Diskussion (ich brauche es nicht!):

• Häkchen "eingeloggt bleiben" beim Login-Fenster (damit expire z.B. auf 1 Jahr)
• Zusätzlich konfigurierbarer Auto-Logout nach XXX Min./Std./Tagen im Benutzerprofil oder global
  Dieser gilt unabhängig von Session-Login oder "eingeloggt bleiben" und beendet immer nach der angegebenen Zeit seit letzer Aktivität
  Wobei Aktivität noch zu definieren wäre (Seite zum Beobachten von Werten im Hintergrund offen, aktive Klicks, aktives Fenster)...

[tws88_user]

Standard:
Session-Login => Auto-Logout bei Browser zu

Volle Zustimmung von mir. Finde ich sehr praktikabel und brauchbar.

[Robert_Mini]

Bitte Eure Vorschläge und Wünsche zum Thema "Dauerhaftigkeit einer Anmeldung" hier angeben[/size][/color][/b]

Mein Vorschlag wäre: Session login + unbefristet eingeloggt bleiben.
Denke das reicht für 99% der Anwender: Bei sich zu Hause => unbefristet, Integratoren etc. beim Kunden => Session.

Ich kann mich persönlich an kein Produkt erinnern (Router, IP-Kamera o:ä.etc.), das einen definierbaren Timeout unterstützt, also warum sollte das beim Timberwolf erforderlich sein?

lg
Robert

[Dante]

Ich kann mich persönlich an kein Produkt erinnern (Router, IP-Kamera o:ä.etc.), das einen definierbaren Timeout unterstützt, also warum sollte das beim Timberwolf erforderlich sein?

Ein Timeout während eines Session-Logins ist nicht unüblich (z.B. Banken-Logins und auch Router - macht das nicht sogar der Wiregate-Server?), aber oft nervig. Wenn man aber sein Browserfenster, wie ich, nie schließt dank Standby bzw. Ruhezustand, enden die Sessions damit nie. Aus Sicherheitsgründen wäre ein Auto-Logout daher für manche wünschenswert. Aber wie geschrieben, ich brauche es nicht - mir würde ein simpler Session-Login reichen. Aber Stefan meinte, dass "man das einstellbar machen muss" - daher habe ich eine Möglichkeit dafür genannt, die in meinen Augen sehr universell und flexibel wäre.

Und nur weil alle anderen keinen definierbaren Timeout unterstützen, muss das gleiche ja nicht für den Timerwolf gelten. ElabNET macht einiges anders als andere und bringt damit auch Innovationen voran, ähnlich seh ich es im KNX-Bereich bei MDT und dabei schaffen es beide, ein super Preis-/Leistungsverhältnis zu halten.