absolute Lebensdauer von Sessions

[Grimreaper]

Hallo,

im Moment begrenze ich die Lebensdauer meiner Sessions mit session_set_cookie_params(10). Allerdings scheint es so, als ob die Zeit seit dem letzten Pageaufruf verwendet wird. Die Session wird also nur automatisch beendet, wenn ich (im Beispiel) 10 Sekunden lang keinen Link verwende. Es ist daher möglich, durch Öffnen von Links die Lebensdauer zu verlängern. Ich würd aber gern einstellen, dass die Session spätestens nach x Minuten (z. B. 30) automatisch geschlossen wird und man sich dann neu einloggen muss (wird in http://www.acros.si/papers/session_fixation.pdf empfohlen, um eine dauerhafte Aufrechterhaltung der Verbindung seitens eines Angreifers zu unterbinden). Weiß jemand Hilfe?

mfg Grimreaepr

 

[MiLa]

Wie wäre es, wenn du den Start der Session speicherst und bei jedem Seitenaufruf überprüfst ob die Session noch gültig ist (innerhalb der Zeit liegt) anschließend wird die Seite mithilfe der Session angezeigt oder falls die Session nichtmehr gültig ist bzw. schon zu lange offen ist wird diese geleert,gekillt und die Seite neu geladen wobei dann eine neue Session erstellt wird.

Hoff ich hab dich richtig verstanden... ;-)

 

[Grimreaper]

Ja, du hast mich richtig verstanden. Ich hatte eigentlich gehofft, dass ich irgendwie was an PHP schrauben kann (kann auch die php.ini modifizieren)... Falls keiner dazu was weiß, werd ich nicht drum rum kommen, das so zu machen wie von dir vorgeschlagen.
Danke auf jeden Fall.

mfg Grimreaper

 

[Radhad]

Ich glaube so wie Lars es vorgeschlagen ist es am einfachsten. Anders würde ich es auch nicht machen! Auch wenn ich noch keine Sessions benutzt habe. *kam noch nicht dazu*


MfG Radhad