DokumentationCommerceAdministratorsystemanleitung

Sitzungsverwaltung

Last update: Sat Jul 13 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Einsteiger
  • Fortgeschrittener
  • Admin

Sitzungsverwaltung ist eine Best Practice gegen die Denial of Service (DoS) für die API-Sicherheit. Eine Sitzung stellt die Zeit dar, die ein Besucher auf Ihrer Site verbringt, und ist nicht abhängig davon, wie lange Admin-Benutzer oder -Kunden bei ihren Konten angemeldet sind.

Eine Sitzung ist eine Sequenz von Netzwerk-HTTP-Anforderungs- und Antworttransaktionen, die mit demselben Benutzer verknüpft sind. Es ist eine Möglichkeit, einen Client (Admin) mit seinen Daten zu verknüpfen, wenn er auf den Server zugreift. Sitzungen werden verwendet, um Variablen wie Zugriffsberechtigungen und Lokalisierungseinstellungen festzulegen, die für jede Interaktion eines Benutzers mit einer Webanwendung während der Sitzung gelten.

Sitzungsgröße

Verwenden Sie die folgenden Konfigurationseinstellungen, um die maximale Sitzungsgröße für Admin-Benutzer und Storefront-Besucher zu begrenzen:

  • Max Session Size in Admin - Begrenzen Sie die maximale Sitzungsgröße in Byte. Verwenden Sie 0 , um zu deaktivieren.
  • Max Session Size in Storefront - Begrenzen Sie die maximale Sitzungsgröße in Byte. Verwenden Sie 0 , um zu deaktivieren.
TIP
Beide Einstellungen werden in Byte gemessen und standardmäßig in 256000 Byte (oder 256 KB).

So konfigurieren Sie die maximale Sitzungsgröße:

  1. Wechseln Sie in der Seitenleiste Admin zu Stores > Settings>Configuration.

  2. Erweitern Sie im linken Bereich den Wert Advanced und wählen Sie System aus.

  3. Erweitern Sie Erweiterungsauswahl im Abschnitt Security , um auf die Sitzungseinstellungen zuzugreifen.

    Sitzungseinstellungen {width="600" modal="regular"}

  4. Geben Sie neue Sitzungsgrößen in Byte ein.

    note warning
    WARNING
    Das Festlegen eines zu niedrigen Werts kann zu Problemen führen. Wenn Sie eine der Optionen unter den Standardwert von 256000 Byte setzen, wird eine Warnmeldung angezeigt. Wenn Sie auf No klicken, ändert das System den Wert in 256000.

  5. Klicken Sie auf Save Config.

Admin-Sitzungen

Wenn Sie die maximale Sitzungsgröße überschreiten, wird eine Fehlermeldung angezeigt und das System protokolliert die Sitzungsgrößenbegrenzung in den Ordner "var/log".

Wenn Sie den Zugriff auf den Admin verlieren, nachdem Sie die Sitzungsgröße zu niedrig eingestellt haben, verwenden Sie die CLI, um die Konfiguration zurückzusetzen:

bin/magento config:set system/security/max_session_size_admin 256000

Storefront-Sitzungen

Wenn Sie die maximale Sitzungsgröße überschreiten, wird kein Fehler angezeigt, aber das System protokolliert die Sitzungsgrößenbegrenzung in den Ordner "var/log".

Sitzungsvalidierung

Mit Adobe Commerce und Magento Open Source können Sie Sitzungsvariablen als Schutzmaßnahme gegen mögliche Sitzungsfixierungsangriffe oder Versuche überprüfen, Benutzersitzungen zu vergiften oder zu verbergen. Die Sitzungsvalidierungseinstellungen bestimmen, wie Sitzungsvariablen bei jedem Store-Besuch validiert werden und ob die Sitzungs-ID in der URL des Stores enthalten ist.

Technische Informationen finden Sie unter Verwenden von Redis für die Sitzungsspeicherung im Konfigurationshandbuch.

Allgemeine Konfiguration - Validierung der Websitzung

Durch die Validierung wird überprüft, ob Besucher die von ihnen angegebenen sind, indem der Wert in den Validierungsvariablen mit den Sitzungsdaten verglichen wird, die für den Benutzer in $_SESSION -Daten gespeichert sind. Die Validierung schlägt fehl, wenn die Informationen nicht erwartungsgemäß übermittelt werden und die entsprechende Variable leer ist. Wenn eine Sitzungsvariable den Validierungsprozess je nach Sitzungsvalidierungseinstellungen nicht durchführt, wird die Client-Sitzung sofort beendet.

Die Aktivierung aller Validierungsvariablen kann dazu beitragen, Angriffe zu verhindern, aber auch die Leistung des Servers beeinträchtigen. Standardmäßig ist die Validierung aller Sitzungsvariablen deaktiviert. Es wird empfohlen, mit den Einstellungen zu experimentieren, um die beste Kombination für Ihre Adobe Commerce- oder Magento Open Source-Installation zu finden. Die Aktivierung aller Validierungsvariablen kann sich als übermäßig restriktiv erweisen und den Zugriff auf Kunden verhindern, die Internetverbindungen haben, die über einen Proxy-Server weitergeleitet werden oder von einer Firewall stammen. Weitere Informationen zu Sitzungsvariablen und deren Verwendung finden Sie in der Dokumentation zur Systemadministration für Ihr Linux®-System.

So konfigurieren Sie die Sitzungsvalidierung:

  1. Wechseln Sie in der Seitenleiste Admin zu Stores > Settings>Configuration.

  2. Erweitern Sie im linken Bereich den Wert General ​und wählen Sie Web ​aus.

  3. Erweitern Sie Erweiterungsauswahl im Abschnitt Session Validation Settings .

  4. Legen Sie die einzelnen Konfigurationsoptionen fest:

    • Validate REMOTE_ADDR - Auf Yes setzen, um sicherzustellen, dass die IP-Adresse einer Anforderung mit der in der Variable $_SESSION gespeicherten übereinstimmt.

    • Validate HTTP_VIA - Auf Yes setzen, um sicherzustellen, dass die Proxy-Adresse einer eingehenden Anfrage mit der in der Variable $_SESSION gespeicherten übereinstimmt.

    • Validate HTTP_X_FORWARDED_FOR - Auf Yes setzen, um sicherzustellen, dass die weitergeleitete Adresse einer Anfrage mit der in der Variable $_SESSION gespeicherten übereinstimmt.

    • Validate HTTP_USER_AGENT - Auf Yes setzen, um zu überprüfen, ob der Browser oder das Gerät, mit dem während einer Sitzung auf den Store zugegriffen wird, mit dem übereinstimmt, was in der Variable $_SESSION gespeichert ist.

  5. Klicken Sie nach Abschluss des Vorgangs auf Save Config.

Lebensdauer der Admin-Sitzung

Als Sicherheitsmaßnahme wird der Admin zunächst auf eine Zeitüberschreitung nach 900 Sekunden (15 Minuten) Tastaturinaktivität eingestellt. Sie können die Lebensdauer der Sitzung an Ihren Arbeitsstil anpassen.

So passen Sie die Lebensdauer der Admin-Sitzung an:

  1. Wechseln Sie in der Seitenleiste Admin zu Stores > Settings>Configuration.

  2. Scrollen Sie nach unten und erweitern Sie Advanced im linken Seitenbereich.

  3. Klicken Sie auf Admin.

  4. Erweitern Sie Erweiterungsauswahl im Abschnitt Security.

  5. Geben Sie für "Admin Session Lifetime (seconds)"die Anzahl der Sekunden ein, die eine Sitzung aktiv bleibt, bevor eine Zeitüberschreitung eintritt.

    Erweiterte Konfiguration - Sicherheitseinstellungen für Administratoren {width="600" modal="regular"}

  6. Klicken Sie nach Abschluss des Vorgangs auf Save Config.## Lebensdauer der Admin-Sitzung

Als Sicherheitsmaßnahme wird der Admin zunächst auf eine Zeitüberschreitung nach 900 Sekunden (15 Minuten) Tastaturinaktivität eingestellt. Sie können die Lebensdauer der Sitzung an Ihren Arbeitsstil anpassen.

So passen Sie die Lebensdauer der Admin-Sitzung an:

  1. Wechseln Sie in der Seitenleiste Admin zu Stores > Settings>Configuration.

  2. Scrollen Sie nach unten und erweitern Sie Advanced im linken Seitenbereich.

  3. Klicken Sie auf Admin.

  4. Erweitern Sie den Abschnitt Sicherheit um Erweiterungsauswahl .

  5. Geben Sie für "Admin Session Lifetime (seconds)"die Anzahl der Sekunden ein, die eine Sitzung aktiv bleibt, bevor eine Zeitüberschreitung eintritt.

    Erweiterte Konfiguration - Sicherheitseinstellungen für Administratoren {width="600" modal="regular"}

  6. Klicken Sie nach Abschluss des Vorgangs auf Save Config.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1