Не разлогинивает при закрытии некоторых браузеров

pilum · Сообщение **pilum** » 2016.08.14, 05:07

День добрый!
С удивлением обнаружил, что при снятом флажке "Remeber me" (в этом случае логин выглядит как \Yii:$app->user->identity->login($key->user,0), кука _identity в браузере не появляется) после закрытия/открытия браузера аутентификация не сбрасывается. Это создает опасную ситуацию, если сайтом пользуются компьютера в общественном месте! В качестве эксперимента поставил 'enableAutoLogin' => false и 'autoRenewCookie' => false, это никак не повлияло на проблему.
Ubuntu 14.04 LTS, Yii 2.0.7, PHP 5.5.9-1ubuntu4.14
Браузеры:
Chrome 52.0.2743.116 m (64-bit) Win и 47.0.2526.111 (64-bit) Ubuntu - НЕ разлогинивают оба
FireFox 43.0.4 Ubuntu - НЕ разлогинивает, 48.0 Win - работает правильно
Opera 39.0 Win, opera-stable 39.0.2256.48 Ubuntu - обе работают правильно,
Safari 5.17 Win - работает правильно
IE 10 - работает правильно

Кто-нибудь уже сталкивался? Есть идеи, как побороть?

ElisDN · Сообщение **ElisDN** » 2016.08.14, 09:42

http://rmcreative.ru/blog/post/chrome-n ... nye-cookie

pilum · Сообщение **pilum** » 2016.08.14, 22:25

ElisDN писал(а):http://rmcreative.ru/blog/post/chrome-n ... nye-cookie

И с тех пор ничего не изменилось? Никаких решений не найдено?

Йож · Сообщение **Йож** » 2016.08.15, 00:15

Найдено, нужно ставить expiration time у куков.

pilum · Сообщение **pilum** » 2016.08.15, 02:52

Йож писал(а):Найдено, нужно ставить expiration time у куков.

Задавать время жизни для PHPSESSID?

Какой в этом смысл, если сессия и так на сервере прибъется через 24 минуты без пользовательской активности?
Проблема-то другая: человек логинится, например, с компьютера в общественной библиотеке, сняв флажок "Remember me", работает с сайтом, закрывает браузер и уходит, считая, что разлогинился. Через минуту за тот же комп садиться другой человек, открывает браузер и получает полный доступ к чужому аккаунту!
Вижу полубезумный вариант: сделать время жизни сессии на сервере в 1 минуту и аяксом в фоновом режиме постоянно долбиться! Заодно можно у сервера и последние обновления контента запрашивать.

)) Тогда, через минуту после закрытия браузера, не получив запроса, сервер пользователя разлогинит

.

mader · Сообщение **mader** » 2017.05.29, 15:23

pilum писал(а): ↑2016.08.15, 02:52
Йож писал(а):Найдено, нужно ставить expiration time у куков.
Задавать время жизни для PHPSESSID? Какой в этом смысл, если сессия и так на сервере прибъется через 24 минуты без пользовательской активности?

А как это сделать?
Чет не получается установить время жизни сессии и куков. Подскажите пожалста..

pilum · Сообщение **pilum** » 2017.05.30, 14:11

mader писал(а): ↑2017.05.29, 15:23 А как это сделать?
Чет не получается установить время жизни сессии и куков. Подскажите пожалста..

Ну вот же, первая страница поисковой выдачи по запросу "время жизни PHPSESSIONID":
http://loco.ru/materials/229-php-prol
https://habrahabr.ru/post/182352/

Yii Framework

Не разлогинивает при закрытии некоторых браузеров

Не разлогинивает при закрытии некоторых браузеров

Re: Не разлогинивает при закрытии некоторых браузеров

Re: Не разлогинивает при закрытии некоторых браузеров

Re: Не разлогинивает при закрытии некоторых браузеров

Re: Не разлогинивает при закрытии некоторых браузеров

Re: Не разлогинивает при закрытии некоторых браузеров

Re: Не разлогинивает при закрытии некоторых браузеров