Univention Bugzilla – Bug 22971
Session-Cookie-Handling
Last modified: 2011-12-13 15:47:07 CET
Der Session-Cookie des UMC-Webservers ist aktuell 180 Sekunden lang gültig. Dieser Wert ist noch hartcodiert und sollte besser auf die UCR-Variable zurückgreifen. Zusätzlich ist die Session-ID eine fortlaufende Nummer beginnend bei 1. Damit die Session-ID nicht erratbar bzw. "bruteforcebar" ist, sollte diese ID zufällig und hinreichend lang sein.
(In reply to comment #0) > Der Session-Cookie des UMC-Webservers ist aktuell 180 Sekunden lang gültig. > Dieser Wert ist noch hartcodiert und sollte besser auf die UCR-Variable > zurückgreifen. Das ist bereits umgesetzt: umc/http/session/timeout
Session Keys werden jetzt mit uuid.uuid4 gebaut. Zusätzlich wurde noch das Session-Handling so erweitert, dass nach dem Session Timeout nicht nur eine neue Authentisierung vom Browser angefordert wird, sondern dass auch die Verbindung zum UMC-Server beendet wird. Selbst wenn dann die Lebensdauer des Session-Key "künstlich" verlängert wird, wird trotzdem eine Authentisierung angefordert, da die Verbindung zum UMC-Server neuaufgebaut werden muss.
QA: Das konnte soweit überprüft und bestätigt werden. * Session Keys werden jetzt mit uuid.uuid4 → OK * umc/http/session/timeout → OK
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"