Rückblättern nach Logout

[Oden]

Ich möchte dieses Thema: https://community.contao.org/de/show...ghlight=logout nochmal ansprechen.

Ich finde dieses Verhalten von TL nicht korrekt und wundere mich, daß es bisher kaum zum Gespräch kam.
Grundsätzlich sollte eine Seite nach einem Logout nicht wieder angezeigt werden. Auch nicht aus dem Cache. Das söllte dringend nachgeholt werden.
Mein Vorschlag wäre, eine extra Variable zu setzen, oder sonstwie auslesen, ob das Mitglied noch eingelogt ist. In 'tel_member' wird ja schon 'currentLogin' gesetzt. Allerdings bleibt 'currentLogin' auch nach dem Logout erhalten. Wahrscheinlich wird dieser Eintrag dann für 'lastLogin' genutzt.
Ich hab sowas vor einiger Zeit selbst einmal für ein eigenes kleines CMS geschrieben und das funktionierte so auch. Dazu habe ich eine eigene Login-Tabelle angelegt, in der alle gelogten User gelistet sind. Log sich einer aus, verschwand auch der Eintrag in der Tabelle und mittels einer kleinen Abfrage, welche per Funktion mit jeder Seite aufgerufen wurde, konnte ich das überprüfen.
Klar, so ähnlich wird das hier ja auch gelößt, aber konnte ich damit dem Chache umgehen. Da ich nur ein Hobbyprogrammierer mit wenigen Kenntnissen bin, kann ich nicht genau die Zusammenhänge erklären. Ich hab da auch eine Weile dran gebastet, aber am Ende ging es.
Könnte sich jemand der Sache einmal annehmen?!


cu.Oden

[BugBuster]

Das Problem ist doch aber, das die Seite aus dem Browsercache kommt, jedenfalls habe ich das bei mir so nachvollziehen können. Und ich habe keinen TL Cache eingeschaltet. ( FF + Windows)

Wüsste nicht wie man das verhindern könnte.

[lindesbs]

no-caching und expire Header setzen, sodass der Browser sie garnicht erst speichert.

[BugBuster]

das macht TL doch:

Code:

Cache-Control	no-cache, pre-check=0, post-check=0
Expires	Wed, 28 Jan 1976 11:52:00 GMT

Daran halten sich aber manche Browser nicht, wenn es um das zurückblättern geht.
Rufe ich den Link auf wo ich zu der Seite kam, dann wird brav neu angefordert.

[lindesbs]

OK, das wusst ich nicht, das TL das von sich aus schon macht.

[BugBuster]

Der FF cached ja im RAM und auf Platte.
Ich vermute mal, das auf Platte nur kommt, was auch gecached werden darf/soll, und im RAM einige Seiten um genau das zurück/vor blättern zu ermöglichen.

[Oden]

Danke erstmal für die Antworten.
Als Bsp. für (m)ein damaliges Werk, hab ich es nochmal schnell zum Leben erweckt. Ihr könnt gerne mal schauen und ein bissel blättern, aber nix eintragen. :-)
http://www.voenger.de/_admin/ User+pw=test
2, 3 x blättern und dann auslogen und auf zurück gehen. Ich sage, es liegt nicht am Chache. Das muß so gehen, denn ich kann den Besuchern der Page ja auch nichts vorschreiben.
(Bitte beachten: die Seite ist Jahre alt und war meine Anfangsphase)


cu.Oden

[BugBuster]

Und? ich logge mich aus , klicke auf zurück und sehe "Willkommen im Admin!".
Nach weiteren klicks und blättern gehts dann nicht mehr, aber einmal wie gesagt schon.

[Oden]

Und? ich logge mich aus , klicke auf zurück und sehe "Willkommen im Admin!".
Nach weiteren klicks und blättern gehts dann nicht mehr, aber einmal wie gesagt schon.

Bei mir nicht! Und bei den Leuten, für die die Seite gemacht ist, auch nicht. Zumindest mit FF, IE und Chrome unter WinXP. Opera blättert auch zurück. Mhmm...
Wie gesagt: Ich bin nicht so fit, aber sowas muß lösbar sein. Bei anderen, großen Sites geht es doch auch? Nur wie?


cu.Oden

[lucina]

Ich kann mich da einloggen, blättern, wieder ausloggen, und ich bekomme nix mehr zu sehen ausser dem Loginfeld.

Wenn Du das Problem hast: Kann entweder an einem sehr hartnäckigen Browsercache liege (ich liebe Firefox dafür ..), vergurkten Browsereinstellungen, einem zwischenspeichernden Proxie am Wegesrand, einem fehlkonfigurierten Router oder oder oder.

Nur mal so als Info ...

[Oden]

Ich kann mich da einloggen, blättern, wieder ausloggen, und ich bekomme nix mehr zu sehen ausser dem Loginfeld.

So soll es sein und bei mir ist das so.

Wenn Du das Problem hast: Kann entweder an einem sehr hartnäckigen Browsercache liege (ich liebe Firefox dafür ..), vergurkten Browsereinstellungen, einem zwischenspeichernden Proxie am Wegesrand, einem fehlkonfigurierten Router oder oder oder.

Nur mal so als Info ...

Infos gibt es viele, Lösungen kaum. Ich selbst bin vielleicht in der Lage meinen Browser so einzustellen, daß das gewünschte Verhalten auftritt. Aber die Besucher der Page wohl kaum. An einem öffentlichen Rechner kann sowas fatal sein. Nicht auf meine, diese, Seite bezogen, obwohl es ja auch ein geschützter Bereich ist. So sind die Seiten aber nicht geschützt.
Seltsamerweise geht es hier im Forum auch nicht. Logout und blättern geht. Da behaupte ich doch mal, daß ich mit meinem Script schon weiter bin. Wenn auch bei weitem nicht perfekt. Aber hier sind doch gestandene Profis, welche doch in der Lage sein sollten, eine passable Lösung zu finden. :-)


cu.Oden

[Oden]

Aber hier sind doch gestandene Profis, welche doch in der Lage sein sollten, eine passable Lösung zu finden. :-)

Oder etwa doch nicht?

Ich würde mir wünschen, wenn dieses Thema nicht auch einfach so verschwindet. Hier sollte eine brauchbare Lösung her.
Die SESSION-Variable 'TL_USER_LOGGED_IN' wird ja auf 1 gesetzt, wenn jemand eingeloggt ist. So habe ich das in meinen Script natürlich auch. Da bei mir aber die Seiten einzeln vorhanden sind und nicht dynamisch mittels ID abgelegt werden, kann ich recht einfach auf jeder betroffenen Seite eine kleine Abfrage einbinden. Leider hab ich bisher in TL nicht gefunden, welches Template die geschützen Seiten aufruft. Oder wo die Abfrage ist, welche die Seiten auf 'geschützt' checkt.
Vielleicht kann mir dazu noch jemand etwas sagen?

Allgemein interessiert es mich auch, ob ihr, wenn ihr ein Projekt mit Login-Bereich erstellt habt, das 'Logout-Verhalten' einfach so akzeptiert, oder eben eine andere, noch nicht bekannte Lösung gefunden habt.


cu.Oden

[Anke]

Ich würde mir wünschen, wenn dieses Thema nicht auch einfach so verschwindet. Hier sollte eine brauchbare Lösung her.

Dem schließe ich mich an. Es ist schon unangenehm, wenn man Kunden viel über die Sicherheit von TL erzählt hat und dann aber erklären muss, dass dieses Problem besteht und nicht lösbar sein soll ...

VG
Anke

[Oden]

<nach oben schieb />

[xchs]

<nach oben schieb />

Könntest Du dieses Anliegen nicht auch geeignet in einem Ticket formulieren und im Ticketsystem einstellen?

[Oden]

Könntest Du dieses Anliegen nicht auch geeignet in einem Ticket formulieren und im Ticketsystem einstellen?

Habsch noch nicht gemacht sowas, aber schau ich mir mal an.


cu.Oden

[xchs]

Habsch noch nicht gemacht sowas, aber schau ich mir mal an.

Zu finden hier: http://https://contao.org/

Müsstest Dich allerdings nochmal extra registrieren...

[Oden]

Zu finden hier: http://https://contao.org/

Müsstest Dich allerdings nochmal extra registrieren...

Bin ich schon.


cu.Oden

[Oden]

Könntest Du dieses Anliegen nicht auch geeignet in einem Ticket formulieren und im Ticketsystem einstellen?

Hab ich jetzt mal erstellt. Hoffe das dies so OK ist und natürlich auch, daß sich da etwas tut.


cu.Oden

[xchs]

Der Vollständigkeit halber hier das betreffende Ticket dazu (falls jemand nachschauen möchte): http://https://contao.org/issues/1995

Defect oder Feature, das ist die Frage...?

[ways2web]

Der Vollständigkeit halber hier das betreffende Ticket dazu (falls jemand nachschauen möchte): http://https://contao.org/issues/1995

Defect oder Feature, das ist die Frage...?

ein defect oder? denn logout soll ja richtig funktionieren inkl der sicherheit, das back-pagen nicht funktioniert.

OT:
Wird eh zeit, dass der ganze aufgeblähte mozilla und Trident mist mal anständig gemacht wird, wie z.B. webkit..inkl WebGL.. FF war früher wirklich mal toll

[Oden]

ein defect oder? denn logout soll ja richtig funktionieren inkl der sicherheit, das back-pagen nicht funktioniert.

Das sehe ich auch so.

OT:
Wird eh zeit, dass der ganze aufgeblähte mozilla und Trident mist mal anständig gemacht wird, wie z.B. webkit..inkl WebGL.. FF war früher wirklich mal toll

Chrome? Obwohl so richtig überzeugend finde ich ihn auch nicht. Momentan halte ich Opera für stark. Firebug fehlt mir da noch.


cu.Oden

[Oden]

Es wird wohl in dieser Angelegenheit nichts passieren. Schade, denn TL sollte nicht nur barrierefrei und einfach zu bedienen sein, sondern auch sicher, was es so IMO nicht ist. Nebenbei würde es sich von all den anderen CMS dann auch deutlich abheben, wenn dafür eine Lösung gefunden werden würde.
Ein Vorschlag von mir wäre noch: Da es im BE ja auch funktioniert... Im FE mit 2 Sessions arbeiten. Eine für die geschützen und eine für die ungeschützen Seiten. Ev. nötige Variablen von einer Session in die andere kopieren, wenn man sie braucht, und nach Logout die Session für die geschützten Seiten löschen. Na oder so ähnlich.
Jedenfalls bin ich als Laie der Meinung, daß dies mit Sessions machbar ist.


cu.Oden

[Anke]

Aber hier sind doch gestandene Profis, welche doch in der Lage sein sollten, eine passable Lösung zu finden.

Kann mir denn hier jemand mit einfachen Worten erklären, warum sich das Verhalten im FE und im BE so sehr unterscheidet? Wieso gelingt es - bei deaktiviertem Browser- und TL-Cache - die zuletzt aufgerufenen Seiten im FE über den Zurückbutton wieder aufzurufen und im BE dagegen nicht?

VG
Anke

[Oden]

Kann mir denn hier jemand mit einfachen Worten erklären, warum sich das Verhalten im FE und im BE so sehr unterscheidet? Wieso gelingt es - bei deaktiviertem Browser- und TL-Cache - die zuletzt aufgerufenen Seiten im FE über den Zurückbutton wieder aufzurufen und im BE dagegen nicht?

VG
Anke

Das liegt schon an der Session. Nach Logout im BE wird diese einfach gelöscht und dann paßt es. Im FE sollen ja noch weiterhin die ungeschützten Seiten ausgegeben werden. Also bleibt da die Session erhalten und man kann sich mit den Vor- und Zurück-Button darin bewegen. Daher ja mein Vorschlag, dies irgendwie mit 2 Sessions zu lösen, wenn das denn machbar wäre. Aber ich zeige gleich noch, wie es bei einem anderen kleinen CMS gelößt wird. Aber mein FTP-Upload ist nicht der Schnellste. ;-)


cu.Oden

[Anke]

Nein, da geht wohl tatsächlich nichts. Lies noch mal das Ticket. Und dann geh mal in dein Paypal- oder Bankkonto, melde dich wieder ab, schalte den Browser Offline und benutze den Zurückbutton!

[Oden]

Nochmal ich...

Laut dem letzten Kommentar von Leo, hat sich das dann ja wirklich erledigt und man kann da so oder so nichts machen. Ich selbst hab das garnicht gewußt, daß dies mit dem Offline-Modus auch geht.
Wie ich das sehe, liegt es wohl mehr an den Browser-Herstellern, die sich der Sache irgendwie annehmen sollten. Kann daher mal jemand einen entsprechenden Brief an die C't formulieren, daß die den Herstellern mal Dampf unterm Hintern machen?!


cu.Oden


PS: Dann erübrigt sich das auch mit dem anderen CMS, weil man da im Offline-Modus auch an die Seiten rankommt.

[weke]

man kann da so oder so nichts machen.

Na ja...
Wenn du als letztes auf einer Seite warst, auf der ein Passwort-Feld ist, z.B. das SMTP-Passwort eines Newsletters, dann kann das auch im Cache des Browsers stehen.

Speziell kenne ich das bei allen SMTP-Passwortfeldern, aber auch Extensions sind hiervon betroffen (z.B. BackupDBplus).

Hier wird zwar das Eingabefeld als Typ "password" definiert, aber der alte Wert im Value-Feld mit Präsentiert.

Hier mal ein Schnipsel aus den TYPOlight Einstellungen (noch Version 2.8.3 daher nicht Cantao)

PHP-Code:

<input name="smtpPass" id="ctrl_smtpPass" class="tl_text" value="brizzelbrazzel" onfocus="Backend.getScrollOffset();" type="password"> 


Wie man das umgehen kann wurde schon mal im Ticket #1733 erklärt, aber bisher als nicht so wichtig erachtet. Für Cantao wäre es vielleicht doch mal an der Zeit zu Überelgen, ob wirklich ein Passwort aus der Datenbank an den Browser im Klartext übergeben werden soll. Dann ist auch der "Bug" der Browser nicht mehr so gravierend...

[Anke]

Aha!? Dafür würde ich auch plädieren.

[Nina]

Wie man das umgehen kann wurde schon mal im Ticket #1733 erklärt, aber bisher als nicht so wichtig erachtet.

Wenn ich das Ticket richtig lese, steht da nirgends, dass das "nicht als wichtig erachtet" wird, sondern dass die Frage ist wie man das technisch anders umsetzen soll. Leo schrieb in seinem vorletzten Post ja, dass die Diskussion ins Entwicklerforum verlagert werden soll, damit dort über die technischen Möglichkeiten gesprochen wird.

Es hält dich also niemand davon ab, dass du im Entwicklerforum einen entsprechenden neuen Thread startest, in dem du auf das Ticket verweist und deinen Lösungsvorschlag vorstellst. Ich würde dann von hier auf diesen neuen Thread verlinken und diesen Thread hier schließen, da alles weitere dann eine Frage der technischen Umsetzbarkeit ist.

[weke]

Wenn ich das Ticket richtig lese, steht da nirgends, dass das "nicht als wichtig erachtet" wird, sondern dass die Frage ist wie man das technisch anders umsetzen soll.

OK, das hatte ich anders verstanden.
Wenn Leo m.E. was als wichtig erachtet fragt er eher nach einem "und wie soll das gehen, Vorschlag erbeten".
Ich hatte seinen Kommentar verstanden als: "Wenn das auch andere so sehen, dann kann ich da gerne was machen, halte das aktuell nicht für so wichtig, dass ich da gleich was mache, ist aber nicht ganz abwegig". Wohl gemerkt, alles nicht negativ, auch nicht von mir so gemeint.

Ich werde mal einen Thread in der Entwickler-Ecke aufmachen.


Ist geschehen und ist jetzt hier zu finden!

[weke]

Dafür würde ich auch plädieren.

Die Diskussion im Entwicklerforum wurde auch um ein Beispiel einer Notlösung via Extension erweitert.

Einfach dort mal nachschauen und feedback erbeten.

(Der Link steht schon im vorherigen Beitrag!)