Forum

[ resolvido ] Erro de segurança de tempo de login de usuários

Postado por Carlos Roberto Borges em 8 de Fevereiro de 2014 às 18:46

   Venho relatar um problema com tempo de conexão de usuários sem atividades no mk-auth.

Percebi que se passar algum tempo sem usar o mk-auth ele não desloga o usuário mas (embora não consiga fazer alterações no sistema) consegue ter acesso aos dados da empresa, explico.

Aqui se eu passar algum tempo logado sem usar o sistema, e ex: clicar em clientes/inserir novo cliente preencho toda ficha mas na hora de enviar não conclui ou se eu fizer alguma alteração de boleto e enviar o boleto não é alterado, da mesma forma que se eu colocar um cliente em observação também quando envio e vou verificar o cliente não foi para observação.

Tenho impressão que o sistema não está agindo corretamente e era pra pedir login ao clicar em qualquer menu após inatividade do usuário por um período.

ex:

Esqueci e fiquei logado por 10 minutos sem fazer nenhuma atividade no sistema, acho que o correto seria que ao clicar em qualquer menu fosse redirecionado para tela de login, mas o que acontece é que posso ver todos os menus do sistema, dados de clientes, financeiro e etc... embora não possa fazer nenhuma alteração.

Então peço que Pedro e amigos do forum verifiquem se acontece o mesmo aí com vocês porque do jeito que está o risco de vazamento de informações almenta e o cuidado é dobrado até que haja uma correção.

Visualizações: 117

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: ajuda, dica, logout, sistema, tempo
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Miranildo Março 14, 2014 23:29

    É verdade Pedro, e mais com a NSA ai na cola né, tem que ter mesmo cuidado com esses MALAS.

  • Pedro Filho Março 14, 2014 22:45

    tratamento de erro ou mensagem ?? se for mensagem deixei sem tb por razões de segurança, é preciso ser mala amigo para escapar dos malas...

    limanet disse:

    Certo Pedro, na minha opinião deveria ter algum tratamento de erro nesse caso, para que o vivente saiba o que ta ocorrendo, mas blz, entendido, obrigado.

  • Miranildo Março 13, 2014 19:35

    Certo Pedro, na minha opinião deveria ter algum tratamento de erro nesse caso, para que o vivente saiba o que ta ocorrendo, mas blz, entendido, obrigado.

  • Pedro Filho Março 13, 2014 18:50

    é assim mesmo amigo, o sistema não aceita salvar a sessão atual, somente se vc marcar a opção de lembrar no momento do login e sobre o ip é preciso fazer o sistema trabalhar somente em cima de 1, pois o sistema amarra o login ao ip por razões de segurança e bloquea as motificações nesse bloqueio...

    limanet disse:

    Fiz o teste no IE 11 e ao abrir e fechar ele voltou a pedir para se logar, coisa que não acontece no Chrome, mas como falei o Chrome está configurado para salvar as ultimas paginas acessadas, talvez seja o problema.

    Outro detalhe, na troca de ip no IE 11 ele também não deixa fazer logout ou qualquer outra modificação, mas se fechar ele ( IE 11) e abrir ele pede logar no mkauth.

    limanet disse:

    Fiz a recomendação Pedro, mas ficou do mesmo jeito, aqui o meu cenário é o seguinte, uso o Chrome por padrão e deixo ele configurado para reabrir as ultimas paginas acessadas, fiz o update e rodei o script mas deu na mesma, talvez seja bug do navegador mesmo, vou testar com o IE 11 agora.

    Pedro Filho disse:

    vc rodou o comando que passei depois do update ??

    limanet disse:

    Obrigado Carlos pelo os testes, aqui o abre e fecha do navegador não adianta, so resolve se voltar ao ip antigo ou limpar os cookies do navegador, mas tudo bem da pra conviver com esse detalhe, abraços.

    Carlos Roberto Borges disse:

    Claro Lima:

    fiz assim:

    conectei no wifi, loguei no mkauth, deconectei da wifi, coloquei o cabo e conectei via pppoe (pois aqui não é com ip na placa de rede mas pega um ip diferente da wifi), tentei deslogar sem sucesso mas fechei o navegador e ao tentar entrar no mkauth foi me solicitado login, após entrar pude fazer logof.

    agora o inverso, conectei via cabo com pppoe, loguei no mkauth, conectei no wifi, não foi possivel deslogar do mk-auth, (detalhe importante: para funcionar corretamente, só depois que displuguei o cabo do note, aí fechei o navegador, conectei via wifi, pude logar e deslogar.

    este processo fiz no firefox e chrome.

    nos dois casos em caso de não conseguir fazer logof bastou fechar o navegador e logar no mkauth e fazer logof normalmente.

    limanet disse:

    Amigo Carlos, você não se propõe a fazer esse teste ai também para saber se seria erro meu ou do navegador, uso o chrome e confesso que não testei em outro navegador, você se loga no mkauth através de um ip e depois troca a interface ou até mesmo se associa em outra rede wireless e vê se consegue modificar ou até tentar fazer logout no mkauth com esse segundo ip, agradeceria muito, obrigado.

    CHROME: Versão 33.0.1750.149 m

  • Miranildo Março 13, 2014 18:45

    Fiz o teste no IE 11 e ao abrir e fechar ele voltou a pedir para se logar, coisa que não acontece no Chrome, mas como falei o Chrome está configurado para salvar as ultimas paginas acessadas, talvez seja o problema.

    Outro detalhe, na troca de ip no IE 11 ele também não deixa fazer logout ou qualquer outra modificação, mas se fechar ele ( IE 11) e abrir ele pede logar no mkauth.

    limanet disse:

    Fiz a recomendação Pedro, mas ficou do mesmo jeito, aqui o meu cenário é o seguinte, uso o Chrome por padrão e deixo ele configurado para reabrir as ultimas paginas acessadas, fiz o update e rodei o script mas deu na mesma, talvez seja bug do navegador mesmo, vou testar com o IE 11 agora.

    Pedro Filho disse:

    vc rodou o comando que passei depois do update ??

    limanet disse:

    Obrigado Carlos pelo os testes, aqui o abre e fecha do navegador não adianta, so resolve se voltar ao ip antigo ou limpar os cookies do navegador, mas tudo bem da pra conviver com esse detalhe, abraços.

    Carlos Roberto Borges disse:

    Claro Lima:

    fiz assim:

    conectei no wifi, loguei no mkauth, deconectei da wifi, coloquei o cabo e conectei via pppoe (pois aqui não é com ip na placa de rede mas pega um ip diferente da wifi), tentei deslogar sem sucesso mas fechei o navegador e ao tentar entrar no mkauth foi me solicitado login, após entrar pude fazer logof.

    agora o inverso, conectei via cabo com pppoe, loguei no mkauth, conectei no wifi, não foi possivel deslogar do mk-auth, (detalhe importante: para funcionar corretamente, só depois que displuguei o cabo do note, aí fechei o navegador, conectei via wifi, pude logar e deslogar.

    este processo fiz no firefox e chrome.

    nos dois casos em caso de não conseguir fazer logof bastou fechar o navegador e logar no mkauth e fazer logof normalmente.

    limanet disse:

    Amigo Carlos, você não se propõe a fazer esse teste ai também para saber se seria erro meu ou do navegador, uso o chrome e confesso que não testei em outro navegador, você se loga no mkauth através de um ip e depois troca a interface ou até mesmo se associa em outra rede wireless e vê se consegue modificar ou até tentar fazer logout no mkauth com esse segundo ip, agradeceria muito, obrigado.

    CHROME: Versão 33.0.1750.149 m

  • Miranildo Março 13, 2014 18:07

    Fiz a recomendação Pedro, mas ficou do mesmo jeito, aqui o meu cenário é o seguinte, uso o Chrome por padrão e deixo ele configurado para reabrir as ultimas paginas acessadas, fiz o update e rodei o script mas deu na mesma, talvez seja bug do navegador mesmo, vou testar com o IE 11 agora.

    Pedro Filho disse:

    vc rodou o comando que passei depois do update ??

    limanet disse:

    Obrigado Carlos pelo os testes, aqui o abre e fecha do navegador não adianta, so resolve se voltar ao ip antigo ou limpar os cookies do navegador, mas tudo bem da pra conviver com esse detalhe, abraços.

    Carlos Roberto Borges disse:

    Claro Lima:

    fiz assim:

    conectei no wifi, loguei no mkauth, deconectei da wifi, coloquei o cabo e conectei via pppoe (pois aqui não é com ip na placa de rede mas pega um ip diferente da wifi), tentei deslogar sem sucesso mas fechei o navegador e ao tentar entrar no mkauth foi me solicitado login, após entrar pude fazer logof.

    agora o inverso, conectei via cabo com pppoe, loguei no mkauth, conectei no wifi, não foi possivel deslogar do mk-auth, (detalhe importante: para funcionar corretamente, só depois que displuguei o cabo do note, aí fechei o navegador, conectei via wifi, pude logar e deslogar.

    este processo fiz no firefox e chrome.

    nos dois casos em caso de não conseguir fazer logof bastou fechar o navegador e logar no mkauth e fazer logof normalmente.

    limanet disse:

    Amigo Carlos, você não se propõe a fazer esse teste ai também para saber se seria erro meu ou do navegador, uso o chrome e confesso que não testei em outro navegador, você se loga no mkauth através de um ip e depois troca a interface ou até mesmo se associa em outra rede wireless e vê se consegue modificar ou até tentar fazer logout no mkauth com esse segundo ip, agradeceria muito, obrigado.

    CHROME: Versão 33.0.1750.149 m

  • Pedro Filho Março 13, 2014 16:49

    vc rodou o comando que passei depois do update ??

    limanet disse:

    Obrigado Carlos pelo os testes, aqui o abre e fecha do navegador não adianta, so resolve se voltar ao ip antigo ou limpar os cookies do navegador, mas tudo bem da pra conviver com esse detalhe, abraços.

    Carlos Roberto Borges disse:

    Claro Lima:

    fiz assim:

    conectei no wifi, loguei no mkauth, deconectei da wifi, coloquei o cabo e conectei via pppoe (pois aqui não é com ip na placa de rede mas pega um ip diferente da wifi), tentei deslogar sem sucesso mas fechei o navegador e ao tentar entrar no mkauth foi me solicitado login, após entrar pude fazer logof.

    agora o inverso, conectei via cabo com pppoe, loguei no mkauth, conectei no wifi, não foi possivel deslogar do mk-auth, (detalhe importante: para funcionar corretamente, só depois que displuguei o cabo do note, aí fechei o navegador, conectei via wifi, pude logar e deslogar.

    este processo fiz no firefox e chrome.

    nos dois casos em caso de não conseguir fazer logof bastou fechar o navegador e logar no mkauth e fazer logof normalmente.

    limanet disse:

    Amigo Carlos, você não se propõe a fazer esse teste ai também para saber se seria erro meu ou do navegador, uso o chrome e confesso que não testei em outro navegador, você se loga no mkauth através de um ip e depois troca a interface ou até mesmo se associa em outra rede wireless e vê se consegue modificar ou até tentar fazer logout no mkauth com esse segundo ip, agradeceria muito, obrigado.

    CHROME: Versão 33.0.1750.149 m

  • Miranildo Março 13, 2014 16:19

    Obrigado Carlos pelo os testes, aqui o abre e fecha do navegador não adianta, so resolve se voltar ao ip antigo ou limpar os cookies do navegador, mas tudo bem da pra conviver com esse detalhe, abraços.

    Carlos Roberto Borges disse:

    Claro Lima:

    fiz assim:

    conectei no wifi, loguei no mkauth, deconectei da wifi, coloquei o cabo e conectei via pppoe (pois aqui não é com ip na placa de rede mas pega um ip diferente da wifi), tentei deslogar sem sucesso mas fechei o navegador e ao tentar entrar no mkauth foi me solicitado login, após entrar pude fazer logof.

    agora o inverso, conectei via cabo com pppoe, loguei no mkauth, conectei no wifi, não foi possivel deslogar do mk-auth, (detalhe importante: para funcionar corretamente, só depois que displuguei o cabo do note, aí fechei o navegador, conectei via wifi, pude logar e deslogar.

    este processo fiz no firefox e chrome.

    nos dois casos em caso de não conseguir fazer logof bastou fechar o navegador e logar no mkauth e fazer logof normalmente.

    limanet disse:

    Amigo Carlos, você não se propõe a fazer esse teste ai também para saber se seria erro meu ou do navegador, uso o chrome e confesso que não testei em outro navegador, você se loga no mkauth através de um ip e depois troca a interface ou até mesmo se associa em outra rede wireless e vê se consegue modificar ou até tentar fazer logout no mkauth com esse segundo ip, agradeceria muito, obrigado.

    CHROME: Versão 33.0.1750.149 m

  • Carlos Roberto Borges Março 13, 2014 14:08

    bleza Pedro obrigado

    Pedro Filho disse:

    é facil amigo, faz um update manual e usa o comando que passei, mais troca o 1440 por 30...

    Carlos Roberto Borges disse:

    será que vc poderia acrescentar lá no menu configurar recursos o tempo de 30 minutos?

    aqui selecionei 60 mas já acho muito se poder acrescentar a opção de 30 minutos fica ainda melhor.

    desde já agradeço.

    Pedro Filho disse:

    faz um update manual amigo, depois usa o comando abaixo no console do linux e ver como fica:

     

    echo "UPDATE sis_opcao SET valor = 1440 WHERE nome = 'timelogout'" | sudo mysql -h localhost -u root -pvertrigo mkradius

    limanet disse:

    Amigo Carlos, você não se propõe a fazer esse teste ai também para saber se seria erro meu ou do navegador, uso o chrome e confesso que não testei em outro navegador, você se loga no mkauth através de um ip e depois troca a interface ou até mesmo se associa em outra rede wireless e vê se consegue modificar ou até tentar fazer logout no mkauth com esse segundo ip, agradeceria muito, obrigado.

    CHROME: Versão 33.0.1750.149 m

  • Pedro Filho Março 13, 2014 11:52

    é facil amigo, faz um update manual e usa o comando que passei, mais troca o 1440 por 30...

    Carlos Roberto Borges disse:

    será que vc poderia acrescentar lá no menu configurar recursos o tempo de 30 minutos?

    aqui selecionei 60 mas já acho muito se poder acrescentar a opção de 30 minutos fica ainda melhor.

    desde já agradeço.

    Pedro Filho disse:

    faz um update manual amigo, depois usa o comando abaixo no console do linux e ver como fica:

     

    echo "UPDATE sis_opcao SET valor = 1440 WHERE nome = 'timelogout'" | sudo mysql -h localhost -u root -pvertrigo mkradius

    limanet disse:

    Amigo Carlos, você não se propõe a fazer esse teste ai também para saber se seria erro meu ou do navegador, uso o chrome e confesso que não testei em outro navegador, você se loga no mkauth através de um ip e depois troca a interface ou até mesmo se associa em outra rede wireless e vê se consegue modificar ou até tentar fazer logout no mkauth com esse segundo ip, agradeceria muito, obrigado.

    CHROME: Versão 33.0.1750.149 m

This reply was deleted.