Hi Gemeinde,
wie / wo kann man den Admin Login verlängern - den Timeout möglichst komplett deaktivieren?
Danke
Du findest hier im Forum Beiträge zum Thema Logout hinsichtlich mehrerer Tabs. Dort sind die Dateien und auch eine Erklärung verlinkt welche Dateien dafür bearbeitet werden müssen.
Danke, aber ich finde hier nichts Vernünftiges dazu.
Ich will das einstellen können. Wo kann ich das in den Einstellungen?
Sessions an einem Arbeitsplatz sollten 8 h laufen können.
Meinem Wissen nach kann man es nicht einstellen. Es ist nur durch das Überschreiben von Dateien möglich.
Danke.
Verständnisfrage, dass Timeout im SW6 hat erstmal nichts mit den Session Timeouts im PHP auf dem Server selbst zu tun? Oder reicht es das im PHP darunter zu erhöhen?
Nach unten, vermutlich. Sprich, wenn das Session Timeout zu kurz ist, dann wird das vermutlich negative Auswirkungen haben. Nach oben hin kann eine Shopware Session nicht verlängert werden.
…eine erste Lösung wäre hier neuerdings zu finden
Großartig! Vielen Dank! Funktioniert einwandfrei. Mehrere Tabs laufen 15 h ohne logout.
(Zusätzlich sind damit noch diese a.undefined Fehler in Großer Zahl verschwunden, wenn eine Session vorher starb - weil sie das jetzt nicht mehr so schnell tut.)
P.S: Was ich wirklich nicht verstehe. Wie kommt man 2023 auf die Idee per default eine Session an einem Arbeitsplatz nach 30 min terminieren zu lassen?
Welche shopwareVersion, Provider sowie Cloud/SelfHosted verwendest Du?
Bei uns arbeiten wir noch mit 6.4.20.1 und nutzen Angebot von Profihost und auch bei Timmehosting.
solange bis 6.5 offiziell freigegeben wird auf Aktualisierungskanal-Stable.
Leider klappt das mit dem Plugin bei uns nicht, was neue Tests gezeigt haben wird man strikt immer noch nach 30min Inaktivität ausgeloggt.
Getestet habe ich nur einen einfachen Fall mit Frisch-Einloggen und gehe z.B. nach Bereich Einstellungen.
Den Mauszeiger habe ich ausserhalb des Fensterinhalts platziert und 30min gewartet während permanent dieses einzige BrowserTab vorderster aktiver Task auf meinem Rechner war.
Trotzdem werde ich zwangsweise automatisch ausgeloggt (wenn auch neuerdings ohne FehlerMeldeSchwemme).
Probiert habe ich das bei einem Shop bei Profihost mit PluginDefault 5Std
und bei Timmehosting mit PluginEigenKonfiguration 10Std.
Leider fliege ich bei Beiden immer noch aus der LoginSession nach spätestens 30min totaler Inaktivität.
Mich würde interessieren warum das Plugin bei uns nicht funktioniert
und unter welchen Umständen es funktionieren würde wie Andere berichten.
Natürlich kritisiere ich auch generell dieses pauschalisierte genormte aufgezwungene AutoLogout wozu shopware keinen Schalter mitausliefert mit dem man das Abschalten könnte.
Wir arbeiten immer auf unseren eigenen Rechnern
und Sicherheitsbedenken wg. möglicher Arbeiten via „Internet cafes or shared workstations“
sind für uns und viele Andere eher irrelevant.
Schön wenn man Sicherheitsfeatures bereitstellt, aber unschön wenn man diese nicht ändern kann selbst wenn sie einem ein ersthaftes Arbeiten nahezu unmöglich+Dauerstress machen ohne permanent in allen Tabs alle paar Minuten künstlich Aktivität vorzutäuschen nur um nicht ständig während der Arbeit rauszufliegen. Auch gibt es via Plugins z…B. DokumentenEditor oder Adminer als EigenerTab/Fullscreen ohne shopwareMenü und dort in diesen Tabs werden alle Aktionen ignoriert weil es eben keine Aktionen sind die shopware als Aktionen wertet (dort fliegt man immer raus auch wenn man jede Minute ein Klick macht).
Die Beweggründe Warum shopware und die meisten Anderen das so meinen machen zu müssen, stehen hier geschrieben
Beschreibung
From Penetration Report from BSI:
Sessions created within the application remain intact even after several hours of inactivity. During testing, the session could continue to be used even after two hours and 30 minutes of inactivity. During a consultant session, the session remained active overnight. An unsuspecting user could create a session within the application by entering data on public systems, such as Internet cafes or shared workstations. If the user forgets to log off, the active session can still be accessed hours later. Therefore, it is now common practice to automatically invalidate it on inactivity and log the user off.
Recommendation: The OWASP Foundation recommends invalidating the session after 15-30 minutes of inactivity. The validity should be limited to a reasonable period of time using Expires or Max-Age, e.g. the average usage time of the application by a legitimate user.
Hi Thorsten,
ich hatte vorher darunter im PHP / php.ini unter /etc/php schon das Session-Timeout hochgedreht.
Das muss vermutlich Dein Hoster für Dich tun. Oder Du kannst es in der .htaccess bei Dir im Shop setzen, wenn Dein Hoster es erlaubt/so konfiguriert hat, da diesen Wert zu überschreiben.
Viele Grüße