Dynamisches Nachladen geschützter Inhalte nach Sitzungsende

Björn Krellner bjoern.krellner at hrz.tu-chemnitz.de
Di Jun 5 11:20:16 CEST 2018


Hallo,

wir verwenden die Shibboleth-SP-Software mit der Session-Option 
postData="ss:mem". Diese Option ist gerade auf unserem OTRS-Server 
wichtig, damit ein POST auch das Aktualisieren einer Sitzung „überlebt“. 
Die Übersichtsseite hat aber auch noch die Funktionalität, in kurzen 
Abständen (via JQuery) neue Inhalte zu holen – angefragt per HTTP-POST. 
Nach Sitzungsende erzeugt der SP dann jedes Mal eine neue Sitzung und 
setzt ein Session-Cookie (_shibpost_…) mit einem Hash zu der noch zu 
verschickenden POST-Anfrage. Irgendwann ist das Header-Limit erreicht 
(bei uns bei 8 Kilobytes) und der Browser zeigt eine Fehlermeldung an 
(„Size of a request header field exceeds server limit.“).

Das Thema wurde auf der Shibboleth-Users-Liste (bspw. unter [1]) schon 
besprochen, eine Limitierung der _shibpost-Cookiezahl aber (für mich 
verständlicherweise) abgelehnt. Welche Möglichkeiten hat man aber ggf. 
noch – außer den JavaScript-Code der Software auf dem SP anzupassen?

Da bei uns viele Anwender die Browser nachts offen lassen und die 
Browser (wenn so konfiguriert) selbst Session-Cookies über einen 
Neustart hinweg behalten, tritt das Problem immer häufiger auf. Und nur 
mit Löschen der Cookies kann man dann überhaupt wieder auf den SP 
zugreifen.


Was ich auf unserem IdP in den Logs auch gehäuft sehe, sind 
HTTP-OPTIONS-Anfragen, die auch von AJAX-Klienten stammen. Ich habe 
verschiedenste HTTP-Codes probiert und auch verschiedene CORS-Antworten 
– die Anfragesysteme sind nicht ruhigzustellen… (Eigtl. fragen sie ja 
den SP an, bekommen aber von diesem einen 302-Redirect zum IdP…) Das 
stört eigtl. nicht, vielleicht hat aber dennoch jemand einen guten 
Workaround zum Eindämmen.

Ciao
   Björn Krellner

[1] http://shibboleth.1660669.n2.nabble.com/Request-header-cookie-exceeds-server-limit-with-relayState-quot-ss-mem-quot-td7623093.html

-- 
Björn Krellner
URZ
 
Technische Universität Chemnitz
Straße der Nationen 62, Böttcher-Bau, Raum B302A
09111 Chemnitz
Germany
 
Tel: +49 371 531-36524
Fax: +49 371 531-836524
 
bjoern.krellner at hrz.tu-chemnitz.de
https://www.tu-chemnitz.de/urz/
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5029 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20180605/4fdf98b5/attachment.bin>


Mehr Informationen über die Mailingliste Aai-users