Sitzungsablauf

Ich kann deine Argumentation nachvollziehen, Stephen, aber das ist nicht übertrieben.

IT-Mitarbeiter haben täglich mit Unwissenden und sogenannten „dummen Benutzern

Aber was ist, wenn der Benutzer vergisst, den Browser zu schließen? Wie funktioniert das?

Ich bin jedoch neugierig, @falco, warum wurde der Patch von 2016 zurückgenommen? Ist es eine unsichere Änderung?

Einige berechtigte Punkte.

Ich bin jedoch über ein paar deiner Beispiele ziemlich schockiert:

Krankenhäuser: Die, in denen ich in den letzten Jahren war, haben mit Sicherheit eindeutige Sperren, sodass die Krankenschwester, die Blutuntersuchungen durchführt, sich erneut anmelden muss, nachdem sie nur für ein paar Sekunden weggegangen ist.

In der Notaufnahme gibt es möglicherweise einige spezialisierte Systeme, die Zugang zu datenschutzrelevanten Notfallinformationen haben, aber sie sollten keinen Zugriff auf personenbezogene Daten (PII) oder auf das Chat-Forum der Abteilung haben.

Bibliothek:
Alle meine lokalen öffentlichen Bibliotheken (einschließlich einiger sehr kleiner Städte mit nicht besonders technikaffinem Personal) verwenden eine generische Login-ID (dieselbe für alle Besucher, direkt am Monitor ausgestellt). Sie haben zudem eine „Neustart beim Verlassen“-Richtlinie, und jeder, einschließlich der Kinder, wird erwartet, sich daran zu halten. Die Neustartsequenz umfasst das automatische Löschen von Browserverlauf, Cache und Cookies.

Ich sage nicht, dass eine sorgfältigere Richtlinie im Bereich der Diskussionen schlecht wäre; es ist nur so, dass mich einige der in diesem Thema genannten „auslösenden“ Situationen beunruhigen, weil falsch zugeordnete Forumsposts das geringste ihrer Probleme sind.

Der Zeitverlauf ist folgender:

• Mai 2012 – Mai 2016: Das Discourse-Sitzungs-Cookie wurde immer auf „für immer

Richtig, aber ich denke auch, dass die Einstellung auf einen Wert wie 0 (falls dies nicht zu vielen Support-Problemen führt oder technisch zu schwierig ist) das Verhalten bewirken sollte, dass der Cookie nur für die Dauer der Browsersitzung gültig ist. Die Beschreibung der Site-Einstellung könnte dies daher verdeutlichen.

maximale Sitzungszeit [Standard: 1440 Stunden]

Der Benutzer bleibt n Stunden seit dem letzten Besuch eingeloggt. Bei Einstellung auf 0 wird der Benutzer ausgeloggt, wenn der Browser geschlossen wird.

Krankenhäuser: Ich teile nur das, was ich durch Erfahrung weiß. Ich stimme zu, dass Bildschirme schnell sperren, aber das ist kein Abmelden aus dem Browser, geschweige denn vom Benutzer des Betriebssystems. Können Sie sich vorstellen, was die Leute tun würden, wenn der Computer sich anmelden, Richtlinien anwenden und Netzwerkkonfigurationen einrichten müsste, alles bevor eine Anwendung geladen wird, um das zu tun, was Ärzte und Krankenschwestern tun, während jemand im Sterben liegt? In ähnlicher Weise sind die Anmeldungen meist nicht Benutzername/Passwort, sondern eher ein Ausweis plus eine kurze PIN, aus demselben Grund. Notaufnahmen, Operationssäle und die meisten anderen Räume müssen weiterhin Patientendaten dokumentieren, daher war es dort, wo ich gearbeitet habe, überall konsistent.

Bibliotheken: Richtlinien zum Neustart bei der Abmeldung existieren und sind wirksam, solange die Administratoren manuell alle Caches auf dem Gerät bereinigen. Ich habe jedoch ebenso viele Orte gesehen, die das nicht tun (einer von vielen Gründen, warum ich meine Anmeldedaten niemals für geteilte Arbeitsplätze verwendet habe). Ich habe regelmäßig dasselbe unglückliche Setup in Hotels und Internetcafés (oder Cafés) gesehen, was es wert ist, erwähnt zu werden.

Es erscheint mir seltsam, dass jede Anwendung diese Einstellung für alle Benutzer bei allen Installationen standardmäßig aktiviert. Sicherheit steht für die meisten Menschen nicht im Vordergrund, wenn sie Computer erstmals einrichten, und es ist allgemein komplex genug, dass es Vollzeitberufe sind. Diejenigen, die Computer für die Öffentlichkeit einrichten, sollten es besser wissen, aber Browser haben das Konzept von Sitzungs-Cookies, um es Anwendungsentwicklern zu erleichtern, Sitzungen bereitzustellen, wenn dies für Benutzer intuitiv ist.

Von Benutzern zu verlangen, dass sie verstehen, dass sie die Cookies einer Website manuell löschen müssen, um sich abzumelden, wenn viele Websites die Sitzung sowohl zeitlich begrenzen als auch beim Schließen des Browsers beenden, scheint zu viel von den Menschen zu verlangen. Wenn die Alternative überhaupt nicht zulässig ist und ein Benutzer sich daran erinnern muss, den spezifischen Discourse-Abmelde-Link zu verwenden, wird dies zu einem Problem, wenn Benutzer den Link aus irgendeinem Grund übersehen; mir fallen spontan folgende Fälle ein:

• Der Benutzer verlässt Discourse, indem er einem Link folgt.
• Der Benutzer verlässt Discourse, weil er den Tab explizit für einen anderen Zweck nutzt.
• Der Benutzer schließt den Tab in Eile, um zu einem Unterricht/einer Besprechung usw. zu gehen.
• Der Browser stürzt aus irgendeinem Grund ab.
• Der SSO-Implementierer hat SAML für die Anmeldung, weiß aber nicht, dass die Anwendung eine explizite Abmeldung erfordert, um die Anwendungssitzung zu beenden.

Außerdem scheinen zwei (2) Monate eine WIRKLICH lange Zeit für eine persistierte Anmeldung zu sein. Ich weiß, dass einige andere Websites heutzutage das vielleicht tun oder sogar noch länger, aber Benutzer können dies normalerweise mit den Kontrollkästchen „Öffentlicher Computer“ steuern, was bei SSO nicht gilt oder vielleicht gar nicht (ich bin kein Discourse-Experte).

Nur weitere Gedanken zur Berücksichtigung.

Ich habe auch dieses Problem und weiß nicht, wie ich es lösen soll.

Danke dafür, @codinghorror. Wie würde der Prozess und der Zeitrahmen für die Bewertung und Umsetzung aussehen?

Ich weiß nicht, es hängt davon ab, wie technisch aufwendig die Änderung ist. @sam, was ist deine Einschätzung zur Schwierigkeit von dem, was in meinem obigen Beitrag vorgeschlagen wird?

Ich finde, das wäre auch eine coole Funktion, denn so könnten die Leute sehen, wer wirklich online ist und wer nur AFK ist.

Wir brauchen hier wirklich eine neue Site-Einstellung, da dies konzeptionell entkoppelt ist und den Code schwer verständlich machen würde.

Konkret müssten wir hier Mindestwerte hinzufügen:

Und an einigen anderen Stellen, um sicherzustellen, dass der Code weiterhin funktioniert.

Die gewünschte Einstellung ist eine diskrete Option wie „Benutzer automatisch abmelden, wenn der Browser geschlossen wird".

Die Sitzungsdauer gilt auch bei Verwendung von Session-Cookies (d. h. wenn das Attribut expires weggelassen wird).

Man könnte also beispielsweise sagen:

1. Wenn jemand den Laptop schließt und drei Stunden später wieder öffnet, soll die Person abgemeldet sein.
2. Wenn jemand Chrome beendet, soll die Person ebenfalls abgemeldet sein.

Das sind unterschiedliche Anliegen.

Vielleicht fügen wir eine Einstellung persistent_sessions hinzu, standardmäßig auf true gesetzt? „Wenn auf true gesetzt, bleibt die Sitzung erhalten, auch wenn der Browser geschlossen wird". Diese Änderung ist in 20 Minuten erledigt.

Ok, wenn eine separate Seiteneinstellung besser ist und es eine einfache 20-minütige Änderung ist, dann sage ich: Machen wir es.

Vielleicht kann diese gute Idee in Zukunft für eine „pro Benutzer“-Einstellung erweitert werden, anstatt nur eine „pro Website“-Einstellung zu haben?

Dies wird nun als sitzungsweite Einstellung gehandhabt.

https://review.discourse.org/t/feature-add-support-for-not-persistent-sessions/15171

Meiner Meinung nach ist dies eine Entscheidung des Administrators. Es handelt sich um eine Sicherheitsfunktion. Langfristig könnten wir eine Whitelist von IP-Adressen in Betracht ziehen, die diese Einschränkung umgehen (z. B. bleiben Computer im Firmennetzwerk angemeldet, während Computer außerhalb automatisch abgemeldet werden).

Ich denke, aufgrund der Art dieser Anfrage handelt es sich um eine benutzerspezifische Funktion.

Einige Benutzer arbeiten an ihren Computern zu Hause oder im Büro und benötigen kein Ablaufdatum für Cookies; daher sollte dies ihre Entscheidung sein.

Andere Benutzer könnten diese „Nomaden

Ich habe dies auf vielen vielen Seiten implementiert gesehen; die typische Umsetzung ist:

Eingeloggt bleiben für 30 Tage

[ ANMELDEN ]

Ich bin mir nicht sicher, wann wir dazu kommen werden, aber wenn wir das tun, werden wir wahrscheinlich eine Site-Einstellung benötigen, um dies zu aktivieren. Es gibt Komplikationen darum, wo man eine solche Checkbox überhaupt anzeigen soll, wenn soziale Anmeldungen aktiviert sind.

Vielen Dank an alle, eure Hilfe und euer Verständnis werden sehr geschätzt.

Danke.

Ja, soziale Anmeldungen waren aufgrund von Verhaltensverfolgung noch nie „unser Ding“; daher ist meine Sichtweise viel enger als Ihre viel größere und komplexere Anforderung, soziale Anmeldungen zu unterstützen.

Vielen Dank für die gute Arbeit Ihres gesamten Teams. Gut gemacht.

Zunächst einmal: Vielen Dank für die schnelle Lösung. Ich habe jedoch eine Frage: Wäre es möglich, dies als benutzerspezifische Einstellung mit einem bestimmten Standardwert zu gestalten, sodass Benutzer dies über ihre Einstellungen deaktivieren können?

Das ist genau das, was oben als mögliche zukünftige Arbeit diskutiert wurde, da beides mehr Aufwand erfordert und einige unangenehme Probleme beim UI-Design mit sich bringt.

Außerdem möchten wir die Funktion eine Weile verfügbar lassen, um zu sehen, ob jemand ein technisches Problem mit unserer Vorgehensweise findet.