ich bin immer wieder überrascht, dass meine Nextcloud deutlich später oder z.B. tags darauf noch offen ist, wenn ich zum Beispiel mein Tablet ohne mein Nextcloud-Logout vom Netz genommen habe oder auch beim Desktop PC einmal Verbindungsprobleme auftraten. Das ist aber auch nicht immer so. Auf jeden Fall, alles andere als gut. Vor allem, wenn man die NC auf einem “fremden” PC bedient.
Die entsprechenden Parameter für den automatischen Logout habe ich in der config.php entsprechend einer Anleitung aus dem Netz gemacht:
Ich vermute, dass das an der Einstellung session_keepalive = true liegt. Sollte diese auf “false” gesetzt werden? Kann auch nirgends so richtig herauslesen, was diese Einstellung macht und ob diese “stärker” ist als die session_lifetime etc. Wieso braucht es diese Einstellung überhaupt?
Zudem muss man wohl auch die session.gc_maxlifetime in der php mit der session_lifetime exakt abstimmen. Das habe ich nun wieder wo anders herausgelesen.
Für mich alles andere als “griffig”. Vielleicht kann mir hier jemand helfen, das richtig zu verstehen.
Schade ist, dass das nicht in den Einstellungen direkt in der Nextcloud-Anwendung eingestellt werden kann.
Wenn man sich auf fremden Rechnern falsch verhält, kann man nicht andere dafür verantwortlich machen. “Das Internet ist für viele von uns Neuland”, sagte mal eine prominete Person und erntete dafür ungerechtfertigter Weise Lacher von allen Seiten:
Gerade, wenn man auf anderen Rechnern unterwegs ist, muss man zwingend sich aus angemeldeten Sitzungen mit “Logout” abmelden, BEVOR man das Browserfenster schließt. Alles andere ist eine Unart, die schnell bestraft werden kann.
Wenn im Webserver Einstellungen bezüglich Timeout der Websitzungen geändert werden, musst Du auch damit rechnen, dass Du aus einer Nextcloud-Sitzung fliegst, wenn Du für “ein paar Minuten” oder “ganz kurz” den Rechner verlässt, mit einem anderen Programm arbeiten musst oder die Internetverbindung kurzzeitig unterbrochen wird.
Darum sollte es auch nicht für “jedermann” änderbar sein.
Da solltest Du in den “sauren Apfel beißen” und Dein eigenes Verhalten anpassen, besonders, wenn es um Arbeit an fremden Rechnern angeht.
Da habe ich auch geschaut. Aber genau den Punkt, worauf es bei meinem Anliegen wohl ankommt, verstehe ich nicht, dass dieser standardmäßig auf “true” ist. Warum? Das ist doch nicht ohne “Risiko”!?
hier gilt es eine Abwägung zwischen Usability und sicherheit zu treffen. Normalerweise möchte man erzwungene Logouts einer aktiven Session vermeiden - das kann Benutzer bei der Arbeit stören und verursacht Unzufriedenheit.
Wenn man die Session am eigenen System startet bestimmt das lokale System die Sichereit. sofern es ein fremdes System ist nimmt man einfach eine “inkognito” Session…
Nochmals ne bescheidene Frage - gibt es dennoch die Möglichkeit, dass z.B. zu einer gewissen Zeit in der Nacht alle Verbindungen zur NC einmal hart gekappt werden, so dass morgens nicht doch aufgrund eines fehlgeschlagenen automatischen Logouts noch Zugriff darauf möglich ist?
es gibt einen occ Befehl um aktive Sessions zu beenden… ich weiss aber nicht ob man dort zwischen Client. Mobile und Browser Sessions unterscheiden kann… und auch wenn - ich würde mich nicht jeden Tag einloggen wollen mit dem ganzen mfa Spektakel nur um das seltene Szenaario abzudecken dass ich vergessen habe am fremden PC logout oder inkognito zu verwenden… aber das ist natürlich Ansichtssache
