Sitzungsmanagement

Die [Sitzungsverwaltung] (https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html) ist ein bewährtes Verfahren zum Schutz vor DoS (Denial of Service) für die API-Sicherheit. Eine Sitzung ist die Zeitspanne, die ein Besucher auf Ihrer Website verbringt, und hat nichts damit zu tun, wie lange Verwaltungsbenutzer oder Kunden in ihren Konten angemeldet sind.

Eine Sitzung ist eine Abfolge von HTTP-Anfrage- und Antworttransaktionen im Netzwerk, die demselben Benutzer zugeordnet sind. Sie ist eine Möglichkeit, einen Client (Admin) mit seinen Daten zu verknüpfen, wenn er auf den Server zugreift. Sitzungen bieten die Möglichkeit, Variablen wie Zugriffsrechte und Lokalisierungseinstellungen festzulegen, die für jede Interaktion eines Benutzers mit einer Webanwendung während der Dauer der Sitzung gelten.

Verwenden Sie die folgenden Konfigurationseinstellungen, um die maximale Sitzungsgröße für Admin-Benutzer und Frontendbesucher zu begrenzen:

  • Max Session Size in Admin - Begrenzen Sie die maximale Sitzungsgröße in Bytes. Verwenden Sie 0 zum Deaktivieren.
  • Max Session Size im Frontend - Begrenzen Sie die maximale Sitzungsgröße in Bytes. Verwenden Sie 0 zum Deaktivieren.

Beide Einstellungen werden in Bytes gemessen und sind standardmäßig 256000 Bytes (oder 256KB).

Maximale Sitzungsgröße konfigurieren

  1. Gehen Sie in der Seitenleiste von Admin zu Store > Einstellungen > Konfiguration.

  2. Erweitern Sie im linken Bereich Erweitert und wählen Sie System.

  3. Erweitern Sie den Abschnitt Sicherheit (/de/jajuma-shop/magento-2-handbuch/images/images/btn-expand.png), um auf die Sitzungseinstellungen zuzugreifen.

    Sitzungseinstellungen

  4. Geben Sie die neue(n) Sitzungsgröße(n) in Bytes ein.

Wenn Sie den Wert zu niedrig einstellen, kann es zu Problemen kommen. Wenn Sie eine der Optionen unter den Standardwert von 256000 Byte setzen, wird eine Warnmeldung angezeigt. Wenn Sie auf Nein klicken, ändert das System den Wert auf 256000.

  1. Klicken Sie auf Save Config.

Admin-Sitzung

Wenn Sie die maximale Sitzungsgröße überschreiten, wird ein Fehler angezeigt und das System protokolliert die Sitzungsgrößenbeschränkung im Verzeichnis var/log.

Admin-Sitzungsgrößenfehler

Wenn Sie den Zugriff auf den Admin verlieren, nachdem Sie die Sitzungsgröße zu niedrig eingestellt haben, verwenden Sie die Befehlszeilenschnittstelle, um die Konfiguration zurückzusetzen:

1
bin/magento config:set system/security/max_session_size_admin 256000

Frontend-Sitzung

Wenn Sie die maximale Sitzungsgröße überschreiten, wird kein Fehler angezeigt, aber das System protokolliert die Sitzungsgrößenbeschränkung im Verzeichnis var/log.