Vorschlag: Sitzungslänge im CCP/WCP erhöhen

  • Hallo,


    kann man die Sitzungslänge im CCP und WCP erhöhen?

    Ich erhalte recht oft "Ihre Sitzung ist abgelaufen" und im aktuell genutzten Browser habe ich leider keine Funktion, Webseiten alle x Sekunden oder Minuten automatisch neu laden zu lassen.

  • Also wir sehen das eher als sicherheitskritisch an. Immerhin kann über das CCP ein vServer gelöscht werden oder ähnliches. Ohne Genehmigung von unserem Datenschutzbeauftragten bekommen wir die Session-Zeit nicht erhöht.


    Wer wäre dagegen die Session-Zeit weiter zu erhöhen?


    Mit freundlichen Grüßen


    Felix Preuß

  • Also dagegen bin ich nicht. Ich denke es ist selbstverständlich, dass CCP, SCP etc. nur von nicht-öffentlichen Geräten aus benutzt werden, zusätzlich ist mein Rechner in meiner Abwesenheit grundsätzlich gesperrt. Dagegen muss ich mich auch regelmäßig wieder neu anmelden, z.B. wenn man zwischen mehreren Panels wechselt oder mal ne Pause macht. Dann jedes Mal neu anmelden + 2FA eingeben ist schon nervig. Aber ich verstehe auch die generellen Sicherheitsbedenken.

  • Wer wäre dagegen die Session-Zeit weiter zu erhöhen?

    Meine Wenigkeit wäre definitiv dagegen die Zeitspanne zu erhöhen.


    Ich melde mich lieber fünf mal wieder an als das ich irgendwo eine Zeitspanne X als angemeldet gelte und die Session gekapert wird.

    Ich lege wirklich viel Wert darauf auf Sicherheit zu achten, aber auch ich bin nur ein Mensch und mache Fehler.

    Ich möchte nur ungerne erleben das eine nicht abgelaufene Session genutzt wird um was auch immer zu machen.


    Ich wäre sogar eher dafür das :

    - die Zeit auf Max 5 Minuten gesetzt wird

    - eine Mindestpasswortlänge/komplexität gefordert wird

    - das die automatisch Anmeldung vom CCP im WCP,SCP etc abgeschafft wird

    - überall (CCP,SCP,WCP etc) eine 2FA (OTP,Yubi-Key etc) eingeführt wird

    - Anmeldungen automatisch blockiert werden nach x Fehlversuchen (fail2ban like)


    und das sind eigentlich nur die Mindestanforderungen die mir spontan einfallen um das ganze so sicher wie möglich zu halten.


    Aber ich bin da auch ein wenig eigen was die Sicherheit betrifft...

    Hat aber auch den Vorteil das ich, bis jetzt, noch nie (Auf Holz klopf) in den Genuss eines (aus welchen Gründen auch immer) gekaperten Accounts / Servers / Zugang etc gekommen bin.


    In dem Bereich hat eben jeder seine eigene Vorstellung.

    User A speichert seine Passwörter im Browser und empfindet das als gut

    User B hat eh überall das gleiche Passwort

    etc etc etc


    Ein Traum wäre ja, das jedem Anwender selbst in die Hand zu legen.

    Netcup setzt nur ein Mindestmaß, quasi die jetzigen Einstellungen, voraus und wir Anwender können dann in den unterschiedlichen Portalen einstellen selbst konfigurieren ob wir es gerne ein bisschen Paranoid (wie ich) mag oder eher lockerer.


    Aber bitte bitte bitte liebe Anwender denkt bei solchen Einstellungen / Wünschen immer daran das ihr nicht nur euren Account / eure Daten riskiert.

    ....na ja das würde jetzt ausschweifen ..... es gibt genug Berichte dazu.



    Jm2c!

  • - die Zeit auf Max 5 Minuten gesetzt wird

    Stimmt, oder besser gleich 30 Sekunden oder? Muss man sich beim Support-Ticket schreiben halt beeilen ... Spaß beiseite, selbst beim Online-Banking ist der Session-Timeout höher als 5 Minuten.

    - das die automatisch Anmeldung vom CCP im WCP,SCP etc abgeschafft wird

    - überall (CCP,SCP,WCP etc) eine 2FA (OTP,Yubi-Key etc) eingeführt wird

    Ersteres Feature wurde vor nicht allzu langer Zeit implementiert um die Sicherheit zu erhöhen bzw. Punkt 2 überflüssig zu machen. Wenn ich die Anmeldung im SCP deaktiviere und nur noch den CCP-Autologin mit vorgeschalteter 2FA nutze habe ich das genau erreicht.

  • Ich sehe keinen Vorteil bei der Erhöhung der Sessionzeit. Die 30 Minuten sind vollkommen ausreichend. Wenn ich in den Zeitraum nicht im CCP gearbeitet habe, wage ich zu unterstellen, dass dies nach 40 Minuten ebenfalls nicht passiert (ist).


    Für mich war die Info neu mit 2FA. Habe ich sofort aktiviert. Inkl. der Deaktivierung des Logins im SCP.

    Viel mehr Sicherheit geht kaum. Gibt es die Möglichkeit die Info bzgl. 2FA und Deaktivierung des Logins im SCP präsenter im CCP anzuzeigen?

    In dem Zuge wäre es ein riesiger Vorteil, wenn der Preload eines Webhostings deaktiviert werden würde. Siehe Thread https://forum.netcup.de/anwend…t-bei-pageload/#post91668


    Das ist schon recht nervig.


    Viele Grüße

    Christian

  • Mehr als 30 Minuten könnten vor allem beim Kontaktformular im CCP sinnvoll sein. Wenn man länger daran schreibt, während man noch technische Details sammelt oder prüft, könnte die Session durchaus ungültig werden. Dann braucht nur noch ein Telefonanruf o.ä. dazwischen kommen und schon ist es soweit. Wenn man in einem zweiten Tab keinen Klick macht, ist der Text futsch.


    Ich kann aber durchaus verstehen, wenn netcup Sicherheitsbedenken hat, das Session-Timeout zu erhöhen. Auf der anderen Seite: Wer sein Endgerät nicht "sperrt", wenn er länger weg muss, dem ist sowieso nicht zu helfen. Und für alles andere hilft ein kürzeres Timeout auch nicht… ;-)

    Erst nach 30 Minuten Inaktivität stirbt bei uns die Session.

    Wie hoch ist die Zeit eigentlich beim VCP/SCP zum Vergleich?



    MfG Christian

  • ..., selbst beim Online-Banking ist der Session-Timeout höher als 5 Minuten.

    ist eine Frage, wie man das Session-Timeout definiert;


    ist es die Zeitspanne von Beginn der Anmeldung dann sind 30 Minuten mehr als ausreichend;

    ist es hingegen, eine Zeitspanne, welche bei jeder Aktion von vorne zu zählen beginnt, dann sind wenige Minuten ausreichend - genau so handhaben es manche Banken beim Electronic Banking;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • ist es die Zeitspanne von Beginn der Anmeldung dann sind 30 Minuten mehr als ausreichend

    Finde ich nicht. Ich mache zwischendurch auch mal was anderes oder dieses oder jenes dauert länger, danach muß ich mich dann wieder anmelden. Das ist nervig.

    Wie erwähnt, wäre die Option, daß der Nutzer selbst die Sessionlänge festlegt oder mehrere Zeiten zur Auswahl hat, wohl für alle die beste Möglichkeit. Dann könnte jeder für sich wählen, ob er lieber eine kürzere, die aktuelle oder längere Sessionzeit haben will.

  • Jeder hat seinen Anwendungsfall wie er das CCP nutzt. Somit ergeben sich auch andere Vorlieben.

    Ich z.B. nutze das CCP als zentralen login für CCP SCP und WCP(+ altes WCP auch ). Vom CCP gehe ich dann weiter

    Also brauche ich erstmal das CCP nach dem login nicht mehr. Wenn ich dann im WCP fertig bin gehts weiter im SCP

    natürlich uber CCP aber da ist die session zu ende also wieder login dann ins SCP .ok ach ich muss an den DNS nochj was ändern

    wieder CCP und login .

    Bin ich in den diversen CPs fertig nutze ich übrigens die logout-Funktion um die session zu beneden. Das empehle ich auch jedem und sollte sich nicht auf die TTL der Session verlassen. Wer also nach 5 min. im CCP fertig ist soll sich ausloggen und gut. :) Aber anderen vorschreiben wollen wie lange sie eingeloggt sein dürfen weil es für die eigenen Vorrausetzungen ausreicht , finde ich dann vermessen.

    Achja die TTL im WCP ist übrigens >2h

    und meine Bank setzt die TTL nach jeder Aktion auf 15 min, was in meinem Fall fürs Onlinebanking dicke ausreicht


    lg michi

    It's me, only me, pure michi

    RS 500 SAS G8 Ostern 2019

    VPS: 50 G7 |B Ostern 2017|200 G8 Aktion

    WH: SmallEi | Adv17 Webhosting Spezial Family | Expert Spezial 2016

  • und meine Bank setzt die TTL nach jeder Aktion auf 15 min, was in meinem Fall fürs Onlinebanking dicke ausreicht

    richtig, das machen viele Banken so;


    daß das CCP Single-Sign-On Platform f. SCP, WCP, ... sollte nicht der Grund f. die Notwendigkeit sein,

    das TTL erhöhen zu müssen;


    daß das im WCP mehr als 2 Stunden ist, mag sein; auch im SCP ist es ebenfalls mehr als diese 30 Minuten;

    im CCP kann jemand, wenn er unbefugt sich Zutritt beschafft deutlich mehr anstellen,

    von daher sollte hier auch das TTL am kürzesten sein;


    und 30 Minuten finde ich einen guten Kompromiss

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Hat aber auch den Vorteil das ich, bis jetzt, noch nie (Auf Holz klopf) in den Genuss eines (aus welchen Gründen auch immer) gekaperten Accounts / Servers / Zugang etc gekommen bin.

    Du wirst lachen,

    das bin auch ich, in den ganzen 39 Jahren, die ich den Kram mache, nicht.

    Und das ganz ohne solche, die Produktivität hemmende Paranoia...

  • Session timeout.. grmml

    Wenn sich da wirklich einer Zugriff verschaffen kann, dann hast du grundlegend mal ein anderes Problem als nur deine Session Timeout.

    Wenn ich es darauf anlegen will als hacker würde ich nicht die Session angreifen sondern mich um die zugangsdaten kümmern.

    Bei Banken mag ich es ja noch verstehen das man sich bei einer Überweisung beeilen soll, ich glaub ich hab sogar nur 15min. Wird mir immer schön oben angezeigt.

    Will ich etwas überweisen muss ich mich schon zusätzlich authentifizieren, kurzum wir sind schon ausserhalb der üblichen Session.

    Gleiches sollte man einfacherweise z.B. beim löschen von Servern einführen, so eine SMS für 10ct wäre mal ein Anfang.

    Aber ehrlich ich würde den Server herunterfahren, Root PW ändern und wieder starten und mir die Maschine zum eigen machen, am ende mich als prozess client irgendwo einnisten und erst einmal abwarten. Wenn es kein erfahrene Root admin ist, wird er das PW zurücksetzen weil er meint ein altes erwischt zu haben ... naja und nicht wirklich nachschauen ob sich da einer eingenistet hat.


    Du wirst lachen,

    das bin auch ich, in den ganzen 39 Jahren, die ich den Kram mache, nicht.

    Und das ganz ohne solche, die Produktivität hemmende Paranoia...

    39 Jahre, grübel.. gab's da schon internet/multiuser? das war doch im Mittelalter, noch in der Steinzeit des Internets >> BTX oder lieg ich da falsch?
    da gab es bestimmt noch das gute alte Lochkarten Adidas LAN

    jeder der einen Schreibfehler in meinem Post findet, darf ihn Kommentarlos behalten

    P.S. gilt auch für Schignaturen ;)