[gelöst] (sichere) Session-Einstellungen

Hilfe zu OTRS Problemen aller Art
Post Reply
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

[gelöst] (sichere) Session-Einstellungen

Post by GustavG »

Hallo,

ich habe bei unseren über das Internet erreichbaren Znunys (6.0.38) folgende Session-Einstellungen:

SessionMaxIdleTime 10800
SessionMaxIdleTime 7200
SessionMaxTime 57600
SessionUseCookie True
SessionModule DB
SessionUseCookieAfterBrowserClose True

Wobei SessionMaxIdleTime 7200 der Standard von 2 Stunden ist und ich bei einer Instanz das schon mal auf 3 Stunden erhöht habe. Meine Frage ist, wie sicher ist es, wenn ich SessionMaxIdleTime erhöhe, vielleicht auf 4 Stunden? Ich frage, weil sich User beschweren, dass sie "schnell" aus dem Ticketsystem fliegen. Welche Einstellungen habt ihr?

https://de.wikipedia.org/wiki/Session_Hijacking
Last edited by GustavG on 06 Apr 2022, 09:41, edited 1 time in total.
Johannes
Moderator
Posts: 391
Joined: 30 Jan 2008, 02:26
Znuny Version: All of them ^^
Real Name: Hannes
Company: Znuny|OTTERHUB

Re: (sichere) Session-Einstellungen

Post by Johannes »

Hi,

so wie ich es im Moment sehe kann man das nicht mit "sicher / nicht sicher" bewerten. Es verlängert sich halt die Zeit um eine Session nutzen zu können, wenn ein User nichts mehr aktiv macht. Ob das in deinem Fall einen Impact hat, kannst aber tatsächlich nur du selbst bewerten.

Ich würde 2 Punkte als Sicherheits-relevant sehen:
- CheckRemoteIP
- SessionMaxIdleTime

Remote IP Check ist genau für den Fall das, wenn jemand eine Session "klaut" diese dann nicht genutzt werden kann.
SessionMaxIdleTime würde ich auf einen Wert stellen der "realistisch" ist und Euren Anforderungen genügt. Also wenn ein User z.B. eine Stunde inaktiv ist, dann weg mit der Session.
Session Max Time wäre dann die vollständige Gültigkeit. Da würde ich einen Arbeitstag annehmen. Sonst nervt es die Leute ehr.

Ggf. kann man das ganze noch mit einem SSO paaren, dann wird es auch für die User halb so schlimm.

Gruß
GustavG
Znuny expert
Posts: 275
Joined: 26 Nov 2014, 15:56
Znuny Version: Znuny 6.3.4
Real Name: Gerlach

Re: (sichere) Session-Einstellungen

Post by GustavG »

Hallo Johannes,

danke für deine Antwort.

OK, dann werde ich SessionMaxIdleTime mal höher setzen, CheckRemoteIP ist aktiviert, das sollte passen.
Post Reply