nach Logout funktioniert "zurück"-Button des Browsers leider noch

[R-bert]

Hallo Zusammen,

ich habe die gesamte Webseite passwortgeschützt außer die erste Loginseite. Anmelden und der Logout funktionieren. Das Problem ist, dass wenn jemand auf Logout klickt, wird man zur Weiterleitungsseite geführt, aber ein User kann immer noch den Zurück-Button im Browser klicken und sieht wieder den Inhalt. Auf ein Menu-Punkt kann man dann nicht mehr klicken, denn dann kommt wie gewünscht eine Fehlermeldung. Wenn man die Browserhistorie benutzt, dann kann man - auch WIE GEWÜNSCHT - auch die besuchten Seiten nicht mehr öffnen. das heisst für mich das der Logout-Mechanismus greift.

Aber ich möchte auch verhindern, dass der User den Zurück-Button betätigen kann.

1. Gibt es hierfür eine Lösung?
2. Ich dachte das Problem könnte ich auch umgehen, wenn ich das Browserfenster schließe, denn dann kann man auch nicht mehr zurück. Aber wie kann ich das als Contao-Anfänger anstellen? Gibt es die Möglichkeit, dass Javascript nach dem Betätigen des "Abmelden-Buttons" mir das Browserfenster schließt?

Vielen Dank im Voraus für den einen oder anderen Tipp.

Gruß! Robert

PS:
Hier zu Erläuterung meine gewählte Vorgehensweise:
1. Ich habe ein Anmeldeformular benutzt (Modul Login-Formular) -> [mit Weiterleitungsseite und Modul nicht geschützt]
2. Ich habe ein Modul zur Abmeldung erstellt (Modul Automatischer Logout) [mit Weiterleitungsseite und Modul nicht geschützt]
3. Ich habe ein Modul mit eigenem HTML-Code erstellt zum Anzeigen des Anmeldenamens und mit dem Link zum Abmelden [Modul geschützt und für Mitglieder freigegeben]
Dort habe ich ich eingebaut:
<!-- indexer::stop -->
<div class="anmeldung angemeldet">
<span class="streifentext"> Angemeldet als: {{user::username}} | {{link::abmelden}}</span>
</div>
<!-- indexer::continue -->

[rusty]

Kannst du bitte einmal erklären, warum du das Zurückgehen über den Back-Button verhindern möchtest? Wie du schon sagtest: Der Logout hat ja geklappt, so dass unbefugte Personen keinen Schaden mehr anrichten können. Wer sicher gehen möchte, dass ein anderer Benutzer des gleichen Computers nicht nachvollziehen kann, was er/sie im Web gemacht hat, sollte ohnehin den Verlauf löschen.

[BugBuster]

Dann liegt die Seite im Cache vom Browser vermutlich. Ist der für diese Seite abgeschaltet?

[tab]

Ist das Caching unter Contao 4.4 grundlegend anders als bei 3.5? Da war es so, dass geschützte Seiten nie gecached wurden. Natürlich kann man Browsern auch nicht immer trauen, die cachen gern alles was sie in die Finger kriegen, schliesslich will man ja zeigen, wie schnell der Browser ist.

[BugBuster]

Oje, keine Ahnung, ich würde mal hoffen das dies immer noch so ist.
Wenn ich mich recht erinnere gab es ja eine neue Caching Variante wo man mehrere Cache Zeiten einstellen kann, ich weiß aber nicht mehr ab welcher Contao 4 Version das war.
Sollte aber trotzdem bei geschützten Seiten nicht cachen. Kann aber auch nicht schaden das explizit so einzustellen.

[R-bert]

Hallo Zussammen,

@tab und @BugBuster: Ja ich habe auf allen geschützten Seiten die Client-Cachezeit auf 0 (also nicht cachen) gesetzt. Mit Contao 4.4.20 kann man trotzdem nach dem Logout den Browser-Zurück-Button betätigen.....und man sieht einfach alles!!! BEI CONTAO 3.5 WAR DAS ANDERS / BESSER !!! Ich habe so etwas schon mal in Contao 3.5 realisiert. Da kommt eine vorgefertigte Contao-Fehlermeldung, nachdem man sich ausgeloggt hat und trotzdem den Browser-Zurück-Button betätigt hat, so wie es eigentlich meiner Meinung nach sein sollte. Siehe Screenshot.

Habe ich da etwas übersehen oder gibt es da z.B. mit Javascript einen Workaround?

@ rusty: Ich finde, es ist nicht korrekt, wenn man noch auf den "Zurück-Button" klicken kann und damit ALLE Inhalte wieder sieht. Denn: Was ist, wenn ein Benutzer sich irgendwo in einem öffentlichen Gebäude (z.B. frei zugänglicher PC für alle Hotel-Gäste) befindet und ruhigen Gewissens NUR auf den Logout-Button klickt. Ich kann nicht sicher sein, dass jeder Internetbenutzer auch den Browser-Tab schließt. Viele Benutzer glauben, dass alles OK ist, wenn der Logout-Button geklickt wurde und schließen das Browserfenster nicht. Der nächste Benutzer am gleichen öffentlichen Rechner kann dann alles sehen!

Gruß!

Robert

[Physiklehrer]

Hallo zusammen,

das beschriebene Verhalten lässt sich auch unter Contao 4.6 nachvollziehen. Ich habe ein entsprechendes GitHub-Ticket geöffnet, siehe https://github.com/contao/contao/issues/129. Oder ist das eher etwas für die Security-Mailingliste? Naja, jetzt steht es ja sowieso schon hier im Forum. Das hier finde ich auf jeden Fall ein wichtiges Argument:

Ich finde, es ist nicht korrekt, wenn man noch auf den "Zurück-Button" klicken kann und damit ALLE Inhalte wieder sieht. Denn: Was ist, wenn ein Benutzer sich irgendwo in einem öffentlichen Gebäude (z.B. frei zugänglicher PC für alle Hotel-Gäste) befindet und ruhigen Gewissens NUR auf den Logout-Button klickt. Ich kann nicht sicher sein, dass jeder Internetbenutzer auch den Browser-Tab schließt. Viele Benutzer glauben, dass alles OK ist, wenn der Logout-Button geklickt wurde und schließen das Browserfenster nicht. Der nächste Benutzer am gleichen öffentlichen Rechner kann dann alles sehen!

[Spooky]

Für die Security Mailing Liste is das imho nichts, denn der Benutzer sieht beim "Zurück" gehen ja nur das, was er in seiner Session ohnehin schon gesehen hat. Aber danke für's analysieren und reporten .

Browser Tab schließen würde btw. auch nicht unbedingt reichen.. mit Strg+Shift+T hast du es wieder und könntest zurück gehen.

[folkfreund]

Im ersten Post stand, dass die Browserhistorie sich wie gewünscht verhält, die alte Seite also nicht aufrufbar ist.
Wenn per Browser-Back die letzte Seite trotzdem aufrufbar ist, dann ist das doch ein Problem des Browsers, oder?

Vielleicht hab ich's ja auch falsch verstanden...

[tab]

Wenn die Seite ausgeliefert wird mit einem Header der sagt, dass sie nicht gecached werden darf, dann ist es ein Problem des Browsers. Wenn natürlich im Header ein cachen erlaubt wird, dann ist es entweder ein Problem von Contao oder vom Entwickler der Website.

[R-bert]

Hallo Zusammen,

Danke für die Beiträge....und Danke an "Physiklehrer" für das Öffnen des Github-Tickets. Das Problem ist dort sehr gut beschrieben!!!

@folkfreund:

Im ersten Post stand, dass die Browserhistorie sich wie gewünscht verhält, die alte Seite also nicht aufrufbar ist.
Wenn per Browser-Back die letzte Seite trotzdem aufrufbar ist, dann ist das doch ein Problem des Browsers, oder?

-> Ich meinte mit dem Statement ".....Browserhistorie verhält sich wie gewünscht....", dass wenn man nach einem LOGOUT in allen Browsern den Verlauf über das Browsermenü öffnet, dann kommt die gewünschte Fehlermeldung. Man kann aber immer noch den "Zurück-Button" in allen gängigen Browsern betätigen. Es kommen alle (auch geschützten) Bereiche und Menüs zum Vorschein. ....und wenn ich (immer noch nach einem Logout und nach dem Betätigen des "Zurück-Buttons" des Browsers) auf einen dann wieder sichtbaren geschützten Menüpunkt klicke, dann erscheint auch - so wie es auch sein soll - eine Fehlermeldung.

D.h. das Problem erscheint NUR beim Betätigen der "Zurück-Buttons" in allen Browsern. In Contao 3.5 erscheint das Problem nicht. Mir kommt es so vor, dass es nicht an den Browsern liegt, sondern an Contao 4.

Ich habe das Verhalten an meiner Banking-Webseite probiert. Da kommt beim Klick auf den "Zurück-Button" in allen Browsern völlig zurecht die folgende Meldung. Siehe Screenshot.

Gruß!

R-bert

[Physiklehrer]

Update: das Problem ist ein Bug in Symfony, der leider schon seit März offen ist: https://github.com/symfony/symfony/issues/28872

[R-bert]

Hallo,

danke für die Info. Dann werde ich das Bugfixing von Zeit zu Zeit beobachten. Wenigstens weiß ich jetzt, dass ich nicht weiter nach dem Fehler suchen muss.

Gruß!

[Physiklehrer]

Nach meinen Tests tritt der Fehler in 4.4.36 nun nicht mehr auf. Das entsprechende Symfony-Ticket wurde am 25. Februar geschlossen. Falls nicht, bitte melden!