Grimreaper
Erfahrenes Mitglied
Hallo,
im Moment begrenze ich die Lebensdauer meiner Sessions mit session_set_cookie_params(10). Allerdings scheint es so, als ob die Zeit seit dem letzten Pageaufruf verwendet wird. Die Session wird also nur automatisch beendet, wenn ich (im Beispiel) 10 Sekunden lang keinen Link verwende. Es ist daher möglich, durch Öffnen von Links die Lebensdauer zu verlängern. Ich würd aber gern einstellen, dass die Session spätestens nach x Minuten (z. B. 30) automatisch geschlossen wird und man sich dann neu einloggen muss (wird in http://www.acros.si/papers/session_fixation.pdf empfohlen, um eine dauerhafte Aufrechterhaltung der Verbindung seitens eines Angreifers zu unterbinden). Weiß jemand Hilfe?
mfg Grimreaepr
im Moment begrenze ich die Lebensdauer meiner Sessions mit session_set_cookie_params(10). Allerdings scheint es so, als ob die Zeit seit dem letzten Pageaufruf verwendet wird. Die Session wird also nur automatisch beendet, wenn ich (im Beispiel) 10 Sekunden lang keinen Link verwende. Es ist daher möglich, durch Öffnen von Links die Lebensdauer zu verlängern. Ich würd aber gern einstellen, dass die Session spätestens nach x Minuten (z. B. 30) automatisch geschlossen wird und man sich dann neu einloggen muss (wird in http://www.acros.si/papers/session_fixation.pdf empfohlen, um eine dauerhafte Aufrechterhaltung der Verbindung seitens eines Angreifers zu unterbinden). Weiß jemand Hilfe?
mfg Grimreaepr