Помогите разобраться в работе сессии браузера



  • Есть некий сайт который после перезапуска обычного браузера требует заново авторизоваться.
    В БАСе при создании лок. профиля сессия остается активной, т.е. авторизации не требуется. Это может быть подозрительным.
    Если почистить куки, то это поможет, но ведь это ненормально, обычный пользователь не чистит куки после каждой сессии, он просто закрывает браузер, куки остаются.
    Как выполнить корректное завершение сессии? БАС осваиваю не так давно, и не могу найти похожей темы. Буду очень благодарен за советы



  • @trezubec45 said in Помогите разобраться в работе сессии браузера:

    Есть некий сайт который после перезапуска обычного браузера требует заново авторизоваться.
    В БАСе при создании лок. профиля сессия остается активной, т.е. авторизации не требуется. Это может быть подозрительным.
    Если почистить куки, то это поможет, но ведь это ненормально, обычный пользователь не чистит куки после каждой сессии, он просто закрывает браузер, куки остаются.
    Как выполнить корректное завершение сессии? БАС осваиваю не так давно, и не могу найти похожей темы. Буду очень благодарен за советы

    Завершение потока с профилем и есть корректное завершение сессии. Проверьте в обычном браузере, скорее всего авторизация слетает при смене ip.



  • @fox В обычном браузере авторизация слетает всегда после перезапуска браузера, а в BASе не слетает. Я сначала порадовался, что постоянно авторизоваться не нужно, а потом задумался что это не есть хорошо...
    Пробовал завершить поток Success, но ситуация не меняется. В обычном браузере эта кука SessionID, она живет до завершения сеанса браузера и генерируется новый ключ (я проверил). В BASе эта кука остается (ключ или токен также проверил, не меняется). Т.е. BAS работает как при аварийном завершении обычного браузера с восстановлением сессии.

    Админ ресурса может увидеть что пользователь после регистрации или первой авторизации никогда не закрывал браузер, (днями, месяцами...) и заблокирует бодрого юзера, или вычислит всю сетку акков только по этому признаку.

    Есть сброс браузера с перезапуском и без. Но в обоих случаях куки чистятся полностью, что тоже не есть хорошо.

    Я думаю многие сайты используют такие куки которые живут лишь в пределах одного сеанса и отслеживают количество посещений, а тут получается что пользователь зашел и остался на сайте навсегда, ну или до бана.

    Может это можно сделать через javascript или через выполнить код?



  • @trezubec45 said in Помогите разобраться в работе сессии браузера:

    @fox В обычном браузере авторизация слетает всегда после перезапуска браузера, а в BASе не слетает. Я сначала порадовался, что постоянно авторизоваться не нужно, а потом задумался что это не есть хорошо...
    Пробовал завершить поток Success, но ситуация не меняется. В обычном браузере эта кука SessionID, она живет до завершения сеанса браузера и генерируется новый ключ (я проверил). В BASе эта кука остается (ключ или токен также проверил, не меняется). Т.е. BAS работает как при аварийном завершении обычного браузера с восстановлением сессии.

    Админ ресурса может увидеть что пользователь после регистрации или первой авторизации никогда не закрывал браузер, (днями, месяцами...) и заблокирует бодрого юзера, или вычислит всю сетку акков только по этому признаку.

    Есть сброс браузера с перезапуском и без. Но в обоих случаях куки чистятся полностью, что тоже не есть хорошо.

    Я думаю многие сайты используют такие куки которые живут лишь в пределах одного сеанса и отслеживают количество посещений, а тут получается что пользователь зашел и остался на сайте навсегда, ну или до бана.

    Может это можно сделать через javascript или через выполнить код?

    Первый раз слышу про подобное. Скиньте потом в личку сайт и тестовый аккаунт для проверки.

    Вы же сами получается и написали 3 варианта решения проблемы:

    1. Разлогиниваться самому в конце сессии.
    2. Удалять куки при заходе на сайт.
    3. Удалять из куков только необходимый токен.


  • @fox Спасибо за внимание к моему вопросу, это большой плюс что Вы уделяете каждой мелочи внимание, это позволит добиться полной анонимности в BASе.

    1. Разлогин не помогает, токен остается прежний, даже после разлогина и перезапуска потока.
    2. Удалять куки как вариант, но мне кажется это будет выглядеть подозрительно, хотя многие работают в приватном режиме (инкогнито), но все равно.... не есть хорошо.
    3. Куку думал удалить, только не знаю как правильно, но вроде разобрался.
      Я в личку вам все скину.


  • Привет!было такое при очистки историй в браузере,все данные стираются,и их уже не востановить,у меня вот в телефоне есть такая функция востановка все данных***,есть но не во всех телефонах



  • @олюшка Не совсем понял о чем идет речь, а какое отношение телефон имеет к BAS и кукам которые работают в пределах одной сессии?



  • ответ @support :

    Session cookies не очищаются при рестарте браузера.
    Пока не знаю, стоит ли изменять это поведение, потому что возможность перезапускать браузер незаметно для сайта тоже полезная.
    

Log in to reply