Neues Feature: Wer ist angemeldet?

Oft gefragt, jetzt implementiert: Die Liste aller gerade angemeldeten Benutzer (unter Tools).

Die Erklärung, warum die Anzeige nicht immer stimmen kann:

Fangen wir mit etwas Haarspalterei an: Wir nennen es "angemeldet sein", nicht "online sein". Denn HTTP, das Protokoll hinter dem WWW, kennt im Gegensatz zu vielen anderen Protokollen kein "online sein". Im Extremfall kann jemand sich für jeden einzelnen Seitenabruf neu einwählen und ist dazwischen "offline". HTTP alleine hilft also nicht weiter, wenn man herausfinden will, wer gerade vor dem Rechner sitzt und den Alpha-Server oder die gP-Webseite nutzt.

Wir können aber anhand der Session-Verwaltung sehr genau herausfinden, wer sich eingeloggt und seit dem noch nicht wieder ausgeloggt hat. Genau diese Liste ist jetzt abrufbar.

Der Haken: Wer sich nicht ganz gezielt mit dem Link Logout oben rechts auf jeder Seiten abmeldet, bleibt noch für etwa eine Stunde als "Karteileiche" im System und erscheint dann als angemeldet, obwohl der PC längst ausgeschaltet ist. Wer sich dagegen "ordentlich" abmeldet, verschwindet aus der Liste UND reduziert das Risiko, dass jemand seinen Account mißbraucht.

Alexander

Trackbacks

    Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

  1. b.b. schreibt:

    Eine Stunde Timeout? So kann man als StartUp natürlich auch eine höhere Benutzerzahl bekommen ;)

    Und missbrauchen kann bei einem anständigen Sessionmanagement auch niemand irgendwas ... also Quark mit Sauce.

  2. Alexander Foken schreibt:

    Eigentlich heißt es ja immer "don't feed the trolls", aber was soll's. Dein Posting erlaubt mir, ein paar Dinge klarzustellen:

    1. Das Timeout kommt nur dann zum Einsatz, wenn sich ein Benutzer NICHT sauber abmeldet. Wenn sich ein Benutzer über die Logout-Funktion abmeldet, ist die Session sofort beendet.

    2. Die Benutzerzahl steigt NICHT dadurch an, dass das Session-Timeout länger ist als Du es für angemessen hälst. Wir haben gelegentlich ein paar mehr aktive Sessions als bei einem kürzeren Timeout, aber das ändert weder etwas an der Benutzerzahl noch an der Request-Zahl (die berühmt-berüchtigten Page Impressions).

    3. Ein deutlich kürzeres Session-Timeout würde die Vielschreiber ziemlich stören. Wenn man nur 5 Minuten Zeit hat, um eine Antwort zu schreiben, bevor einen die Session-Verwaltung rausschmeißt, ist das auf Dauer sehr frustrierend.

    4. Eine nicht beendete Session ist durchaus mißbrauchbar. Wer von unserer Seite bei einer aktiven Session einfach weggeht, z.B. indem er einen Bookmark oder die Browser-Homepage im Browser aufruft, und dann den Rechner einfach stehen läßt, riskiert, das jemand innerhalb der nächsten Stunde die History durchforstet, auf getPraised stößt, und dort einfach mit der noch aktiven Session Unfug treibt. Auch andere Szenarien sind möglich, wenn jemand auf der Strecke zwischen Browser und getPraised-Server Daten abhören und ggf. manipulieren kann.

    5. Wenn Du meinst, dass Du eine wesentlich bessere Session-Verwaltung implementieren kannst, die auch die Dämlichkeiten diverser Provider berücksichtigt, dann melde Dich bei uns per E-Mail an hallo@getpraised.com.

    Alexander


Kommentar schreiben


Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss um dieses Verfahren anzuwenden.
CAPTCHA