DISKUSSION zu Technischen Neuerungen im HET-Forum

[MB77]

Ich werde mich auf keinem Fall bei jeder Session neu einloggen.

[Heckengäu]

Ich werde mich auf keinem Fall bei jeder Session neu einloggen.

Hast du die Cookies gelöscht? Unten halbrechts.
Was heisst Session?
Ich bin Stundenlang eingeloggt, auch wenn ich nicht aktiv im Forum 1 Klick mache.
Du nicht?

[MB77]

Hab die jetzt gelöscht. Mal hoffen, das es was bringt.

[Solsken]

Das Problem ist nicht weg wenn man löscht die Button für ‚Dauerhaft angemeldet‘. Das Problem ist in die Server-Einstellung. Wenn die Wert für session.gc_maxlifetime in die php.ini ist zu niedrig eingestellt, dann die Garbage Collector löscht alle aktive Sitzungen viel zu schnell. Auch wenn Nutzer will bleiben angemeldet, der Server vergisst die Identität sofort wieder.

Zweite Fehler ist bei die Cookie-Attribute. Wenn die Cookie-Path ist falsch gesetzt oder gibt es Konflikt bei SameSite=Lax Einstellungen in Verbindung mit die secure-Flag, dann Browser blockiert die Übertragung von Session-ID bei neue Seitenaufruf. Das ist eine fehlerhafte Implementierung von Sicherheits-Protokolle.

Man muss korrigieren die session.cookie_lifetime und prüfen die Database-Session-Handler auf Fehler in die Schreib-Rechte. Das ist eine Standard-Aufgabe für eine IT-Fachkraft und dauert nur zwei Minuten.

Eine Funktion zu entfernen weil man kann nicht reparieren die Ursache ist keine professionelle Lösung für eine Administrator. Das ist nur eine Umgehung von die technische Defekt.

[Solsken]

Ich habe beim Lesen von die Informationen gesehen, dass dieses Forum nutzt noch die Version phpBB 3.3.8. Ich schreibe das nur, weil ich habe mich gewundert wegen die Probleme mit die Anmeldung von die Nutzer.

Ich habe nachgeschaut in die offizielle Liste von die Entwickler und diese Version 3.3.8 ist von Juni 2022. Das ist schon eine sehr lange Zeit ohne eine Aktualisierung. Aber ich mache mir auch Sorgen um die PHP-Version auf die Server. Wenn die Foren-Software so alt ist, dann ist oft auch die PHP-Version veraltet, zum Beispiel Version 7.4 oder 8.0.

Die Entwickler von PHP haben für Version 7.4 schon im November 2022 alle Sicherheits-Updates gestoppt. Und auch Version 8.0 bekommt schon lange keine Hilfe mehr. Das ist gefährlich, weil alte PHP-Versionen haben oft Sicherheits-Löcher, die Hacker können benutzen für Einbruch in die Datenbank.

Vielleicht ist das auch eine Grund, warum die Technik nicht mehr stabil läuft und der Button für ‚Angemeldet bleiben‘ musste weg. Neue Browser und alte Server-Technik verstehen sich nicht gut. Es wäre sehr wichtig für die Sicherheit von die Daten von alle Nutzer, wenn man macht ein Update auf eine moderne Version wie PHP 8.2 oder 8.3, die noch Schutz bekommen.

Ich wollte das nur als Information geben für die Sicherheit von die Projekt. Es ist besser zu reparieren die Basis, als nur Funktionen zu löschen.

Ich möchte auch freundlich erinnern, dass es gibt in Europa die DSGVO. Ein Administrator hat die rechtliche Pflicht, die Daten von die Nutzer zu schützen durch Technik, die ist auf die aktuelle Stand von die Technik. Wenn man nutzt Software und PHP-Versionen, die seit 2022 keine Sicherheits-Updates mehr bekommen, dann ist das ein großes Risiko für die Sicherheit von die Daten.

Im Falle von eine Datendiebstahl kann das geben große Probleme mit die Aufsichtsbehörden, weil die Sorgfaltspflicht wurde nicht beachtet. Ich schreibe das nur, weil ich möchte nicht, dass dieses Projekt bekommt juristische Schwierigkeiten wegen veraltete Systeme. Sicherheit ist nicht nur ein Wunsch, sondern eine gesetzliche Pflicht für jede, der eine Forum betreibt mit private Daten von Menschen.

Edit:

Ich habe auch gesehen, das Design von die Webseite (Theme ‚Acid‘) ist auch schon sehr, sehr alt. Das ist ein schönes Retro-Gefühl, aber in die Informatik ist das gefährlich. Alte Themes benutzen oft veraltete JavaScript-Bibliotheken wie ganz alte jQuery-Versionen. Diese haben oft Sicherheits-Lücken für Cross-Site-Scripting.

IMG_0258.jpeg (468.28 KiB) 223 mal betrachtet