login+timeout nach inaktiver zeit

**Abraxax** · 25.07.2003, 16:11

Re: login+timeout nach inaktiver zeit

Original geschrieben von marc75
[...] ich suche ein Codeschnipsel. [...]

das sollte doch auch dir klar sein, dass gesuche woanders gepostet werden sollen.

*VERSCHIEB*

und suche auch mal im forum...

**mrhappiness** · 25.07.2003, 16:13

als zusätzlichen check, damit nicht zufällig ein eingeloggter user kaffee holen geht und einböser mensch während dessen alle sumstellt?

mach doch die abfrage beim ändern solch persönlicher daten einfach immer

is denk ich besser/sicherer als das mit dem zeitpunkt der letzten aktion des benutzers zu verbinden

**marc75** · 25.07.2003, 16:55

@abraxax

sorry hatte ich übersehn.

und suche auch mal im forum...

du wirst es nicht glauben, aber das hab ich vorher ausgiebig getan, sogar mit verschiedenen Suchbegriffen.

Nur was nach meiner Meinung nach passendes hab ich dabei nicht gefunden gehabt. Selbst bei google, Eventl. hab ich die falschen Stischwörter im Kopf.

@mrhappiness

als zusätzlichen check, damit nicht zufällig ein eingeloggter user kaffee holen geht und einböser mensch während dessen alle sumstellt?

so ähnlich hab ich es vor. (will nur ausschliessen das der Kunde seine eigenden Daten unwissend für andere offenlegt, wenn er cookies deakt. hat und ein link(mit sid) zu einem Artikel in einem fremden forum, zwecks fragen zum Artikel postet). Das mit dem Kaffee ist natürlich auch so eine Gefahr.

das mit dem "immer abfragen" wäre eventl. noch eine Idee.

Dann müsste ich den normalen login entfernen und die Felder: "eigende Daten", "Lieferanschrift" und "Passwort ändern" immer anbieten.

mhh muss mal schauen ob sich das dann auch mit dem Bestellablauf verträgt, da dort der Kunde ja auch nochmal eventl. Zugriff auf die Lieferanschrift hat.

**mrhappiness** · 25.07.2003, 17:07

mach das mit dem immer abfragen, alles andere is noch unsicherer

was du mit lieferanschrift bei bestellung meinst weiß ich nich

kann er die da nochmal ändern? dann gleiches vorgehen

steht die da einfach, dann isses ja eigentlich egal

**marc75** · 26.07.2003, 08:02

Original geschrieben von mrhappiness
mach das mit dem immer abfragen, alles andere is noch unsicherer

was du mit lieferanschrift bei bestellung meinst weiß ich nich

kann er die da nochmal ändern? dann gleiches vorgehen

steht die da einfach, dann isses ja eigentlich egal

werde es nach dem Urlaub versuchen so zu basteln.

zur Lieferanschrift:

wenn der Kunde im Warenkorb auf bestellen klickt kommt er (wenn noch nicht angemeldet) auf die login seite von dort dann auf die Versandkosten und dann auf die Übersicht wo er die Bestellung abschliessen kann.
Auf dieser Übersicht wird ihm auf die aktuelle Anschrift wo es hingeliefert wird angezeigt, mit einem Link "ändern" falls er es woanders hingeliefert bekommen möchte.
Der Link führt einfach zur user/lieferanschrift dort müsste er sich dann wieder Authorisieren, das könnte den kunden nerven da er sich gerade eingelogt hatte um die Bestellung abzusenden.

Naja werde nach dem Urlaub darüber nachdenken.

**mrhappiness** · 26.07.2003, 09:27

Original geschrieben von marc75
Der Link führt einfach zur user/lieferanschrift dort müsste er sich dann wieder Authorisieren, das könnte den kunden nerven da er sich gerade eingelogt hatte um die Bestellung abzusenden.

dann musst du deinen kundn klar machen, dass es auch noch komfortabler geht, aber das mit einem höherensicherheitsrisiko verbunden ist

kannst das ja auch im profil des jeweiligen benutzers einstellen lassen. Eine checkbox der Ar Bei der Änderung Ihrer persönlichen Daten Passwort erneut abfragen zum beispiel. musst den leuten halt erklären was die vorteile des einen und des anderen verfahrens sind

**muecke0815** · 28.07.2003, 09:11

dein prinzip verstehe ich nicht ganz. du schreibst

will nur ausschliessen das der Kunde seine eigenden Daten unwissend für andere offenlegt, wenn er cookies deakt. hat und ein link(mit sid) zu einem Artikel in einem fremden forum, zwecks fragen zum Artikel postet

was nützt dir denn eine abgelaufene sid in einem forum?
es läuft doch meistens so:
1.) ohne einloggen warenkorb füllen.
2.) auftrag erteilen
3.) einloggen. vorhandene sid mit user_id verknüpfen. am besten mit session_register, damit du kein "wieder einloggen" verursachst!
4.) auftrag absenden. bzw in seinen kunden internen seiten einstellungen vornehmen - fertig.
5.) ausloggen

verweis auf artikel dürften nicht mit der sid verknüpft sein, da ja jeder user der sich auf den seiten tummelt immer eine neue sid bekommt.

**BloodReaver** · 28.07.2003, 11:02

jop da find ich hat muecke recht?!

wofür der aufwand

machs doch so wie er sagt, und seine userdaten kann der user dann extra mit nem login ändern?! bzw halt nem extra login, der nach änderung die session gleich wieder zerstört?! was meinst?

**muecke0815** · 28.07.2003, 12:45

danke.

nur da mit dem nochmal einloggen hab ich nicht verstanden. ist der user doch einmal erkannt, dann kann ich ihm doch seine ganzen zusätzlich funktionen ohne erneutes login bereitstellen. z.b. wie schon erwähnt als ein erweitertes menü.

oder gibt es ein unterschied zwischen versenden als kunde und ändern der einstellungen als kunde?

**BloodReaver** · 28.07.2003, 13:06

hm?! versteh etz net ganz was du willst

is aber doch eigentlihc au egal! du hast es im groben erfasst, wie es wichtig is...

session_destroy und gut

**mrhappiness** · 28.07.2003, 13:36

session_destroy is scheiße

danach is der benutzer nämlich ausgeloggt und dann hättest du folgenden, verwirrenden ablauf

Kunde meldet sich an
Kunde will persönliche Daten ändern
Kunde identifiziert sich erneut
Kunde ändert persönliche Daten
Kunde ist ausgeloggt

ich köönte mir gut vorstellen, dass so ein vorgehen bei den wenigsten kunden auf verständnis stößt (vor allem, wenn sie das machen, nachdem sie artikel im warenkorb haben, da sie den dann auch von vorne füllen müssen

mach's lieber so

Kunde meldet sich an
Kunde will persönliche Daten ändern
Kunde identifiziert sich erneut
Kunde ändert persönliche Daten
fertig

oder

Kunde meldet sich an
Kunde will persönliche Daten ändern
Kunde ändert persönliche Daten
Kunde identifiziert sich erneut, direkt vor dem schreiben in die datenbank
fertig

beim erneuten identifizieren machst du das gleiche wie beim einloggen, nur dass du nach der SELECT-Abfrage aufhörst

**muecke0815** · 28.07.2003, 14:01

er (BloodReaver) meinte wohl eher mich mit session_destroy()

warum dieses ewige erneut anmelden? das macht doch keiner so. und ich vermisse auch noch den grund?

einmal eingeloggt wird der user auf jeder weiteren seite erkannt. ob er nu vorm einloggen oder nach dem einloggen seinen warenkorb befüllt muß egal sein. dem kunden eine reihenfolge vor zu schreiben oder mehrmaliges einloggen ist nicht die feine art!

als user erkannt dürfte er alles tun dürfen, was man ihm mit seinem login ermöglicht. und nicht bei jedem button erneut fragen: "bist du auch der user..."

**mrhappiness** · 28.07.2003, 15:47

bei jedem klick nicht, aber wenn ich bei ebay meine mitgliedsdaten aktualisieren will, werde ich da erneut nach meinem passwort gefragt und das halte ich auch für sinnvoll (genauso wie beim ersten bieten)

**muecke0815** · 28.07.2003, 16:03

ok. würde ich auch einsehen. bei ebay wird es aber vielleicht aufgrund des load-balancing nicht anders funktionieren oder einfacher zu proggen sein. ist also ein etwas anderer grund als hier.

für solche geschichten denken sich viele cms folegendes aus. das passwort einfach nochmal mit einzugeben bei dem änderungsformular. ein neues login ist nicht nötig.

aber mein segen für ein zweites login habt ihr

login+timeout nach inaktiver zeit