Hallo,
ich habe bei unseren über das Internet erreichbaren Znunys (6.0.38) folgende Session-Einstellungen:
SessionMaxIdleTime 10800
SessionMaxIdleTime 7200
SessionMaxTime 57600
SessionUseCookie True
SessionModule DB
SessionUseCookieAfterBrowserClose True
Wobei SessionMaxIdleTime 7200 der Standard von 2 Stunden ist und ich bei einer Instanz das schon mal auf 3 Stunden erhöht habe. Meine Frage ist, wie sicher ist es, wenn ich SessionMaxIdleTime erhöhe, vielleicht auf 4 Stunden? Ich frage, weil sich User beschweren, dass sie "schnell" aus dem Ticketsystem fliegen. Welche Einstellungen habt ihr?
https://de.wikipedia.org/wiki/Session_Hijacking
[gelöst] (sichere) Session-Einstellungen
-
- Znuny expert
- Posts: 278
- Joined: 26 Nov 2014, 15:56
- Znuny Version: Znuny 6.3.4
- Real Name: Gerlach
[gelöst] (sichere) Session-Einstellungen
Last edited by GustavG on 06 Apr 2022, 09:41, edited 1 time in total.
-
- Moderator
- Posts: 391
- Joined: 30 Jan 2008, 02:26
- Znuny Version: All of them ^^
- Real Name: Hannes
- Company: Znuny|OTTERHUB
Re: (sichere) Session-Einstellungen
Hi,
so wie ich es im Moment sehe kann man das nicht mit "sicher / nicht sicher" bewerten. Es verlängert sich halt die Zeit um eine Session nutzen zu können, wenn ein User nichts mehr aktiv macht. Ob das in deinem Fall einen Impact hat, kannst aber tatsächlich nur du selbst bewerten.
Ich würde 2 Punkte als Sicherheits-relevant sehen:
- CheckRemoteIP
- SessionMaxIdleTime
Remote IP Check ist genau für den Fall das, wenn jemand eine Session "klaut" diese dann nicht genutzt werden kann.
SessionMaxIdleTime würde ich auf einen Wert stellen der "realistisch" ist und Euren Anforderungen genügt. Also wenn ein User z.B. eine Stunde inaktiv ist, dann weg mit der Session.
Session Max Time wäre dann die vollständige Gültigkeit. Da würde ich einen Arbeitstag annehmen. Sonst nervt es die Leute ehr.
Ggf. kann man das ganze noch mit einem SSO paaren, dann wird es auch für die User halb so schlimm.
Gruß
so wie ich es im Moment sehe kann man das nicht mit "sicher / nicht sicher" bewerten. Es verlängert sich halt die Zeit um eine Session nutzen zu können, wenn ein User nichts mehr aktiv macht. Ob das in deinem Fall einen Impact hat, kannst aber tatsächlich nur du selbst bewerten.
Ich würde 2 Punkte als Sicherheits-relevant sehen:
- CheckRemoteIP
- SessionMaxIdleTime
Remote IP Check ist genau für den Fall das, wenn jemand eine Session "klaut" diese dann nicht genutzt werden kann.
SessionMaxIdleTime würde ich auf einen Wert stellen der "realistisch" ist und Euren Anforderungen genügt. Also wenn ein User z.B. eine Stunde inaktiv ist, dann weg mit der Session.
Session Max Time wäre dann die vollständige Gültigkeit. Da würde ich einen Arbeitstag annehmen. Sonst nervt es die Leute ehr.
Ggf. kann man das ganze noch mit einem SSO paaren, dann wird es auch für die User halb so schlimm.
Gruß
-
- Znuny expert
- Posts: 278
- Joined: 26 Nov 2014, 15:56
- Znuny Version: Znuny 6.3.4
- Real Name: Gerlach
Re: (sichere) Session-Einstellungen
Hallo Johannes,
danke für deine Antwort.
OK, dann werde ich SessionMaxIdleTime mal höher setzen, CheckRemoteIP ist aktiviert, das sollte passen.
danke für deine Antwort.
OK, dann werde ich SessionMaxIdleTime mal höher setzen, CheckRemoteIP ist aktiviert, das sollte passen.