Stefan: Sicherheit in Formularen

SELF-Forum

Sicherheit in Formularen

Stefan
Informationen zu den Bewertungsregeln

Hallo,

Ich habe ein Formular zur Abfrage von Username und Passwort. Nun trägt ein User seine Daten dort ein und gelangt auf Seiten mit persönlichen Inhalten. Nun kann der User aber mit dem "Back"-Button des Browsers zum Login-Formular zurück. Wie kann ich verhindern, das dann das Passwort noch im Formular steht?

Stefan

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Sicherheit in Formularen

    Andreas
    Informationen zu den Bewertungsregeln

    Hallo!

    Ich habe ein Formular zur Abfrage von Username und Passwort. Nun trägt ein User seine Daten dort ein und gelangt auf Seiten mit persönlichen Inhalten. Nun kann der User aber mit dem "Back"-Button des Browsers zum Login-Formular zurück. Wie kann ich verhindern, das dann das Passwort noch im Formular steht?

    Wo ist denn hier ein Sicherheitsporblem? Das der User sein eigenes Passwort sieht? Wenn Du meinst das es da im Klartext steht und andere mitlesen könnten kannst Du statt <input type="text" name="pass"> lieber <input type="password" name="pass"> verwenden, dann steht das Passwort als ****** da. Evtl sicherheitsrelevant könnte man überlegen, ob die Daten unverschlüsselt zum Server gesendet werden, und von anderen mit  mitgelesen werden könnten, zu verhindern ist das nur mit SSL.

    Viele Grüße
    Andreas

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Sicherheit in Formularen

      Stefan
      Informationen zu den Bewertungsregeln

      Wo ist denn hier ein Sicherheitsporblem?

      Ein User greift auf seinmen Bereich z.B. von einem Internetcafe aus zu. Danach meldet er sich ab und ein anderer User setzt sich an den Rechner. Der clickt nun "zurück", bis er auf die Login-Seite kommt. Da kann er zwar das Passwort nicht lesen, weil da nur "*****" steht, aber er kann auf den Login-Button klicken und hat dann Zugriff auf den persönlichen Bereich.

      Stefan

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. Sicherheit in Formularen

        Sven Rautenberg Homepage des Autors
        Informationen zu den Bewertungsregeln

        Aloha!

        Ein User greift auf seinmen Bereich z.B. von einem Internetcafe aus zu. Danach meldet er sich ab und ein anderer User setzt sich an den Rechner. Der clickt nun "zurück", bis er auf die Login-Seite kommt. Da kann er zwar das Passwort nicht lesen, weil da nur "*****" steht, aber er kann auf den Login-Button klicken und hat dann Zugriff auf den persönlichen Bereich.

        Der User schließt das Browserfenster - und die Formulardaten und vor allem die History sind weg.

        Rabiater (nämlich mit Schließen des gesamten Browsers) muß man reagieren, wenn man ein Login per .htaccess vernichten will.

        Es ist in beiden Fällen sinnvoll, die User darauf hinzuweisen.

        - Sven Rautenberg

        Beitrag melden
        Informationen zu den Bewertungsregeln