Moin!

Mit HTTP-Authentifizierung hatte ich bisher noch nicht allzuviele gute Erfahrungen, unter anderem funktioniert ein Logout nicht immer und im Gegensatz zu Formularen kann ich nicht verhindern, dass Benutzername und Passwort gespeichert werden.

Haha! Guter Witz. :)

Ein Logout ist bei HTTP-Authentifizierung vollkommen unmöglich, weil es auch kein "Login" gibt (aber das scheint mir genau das zu sein, was die Mitarbeiter da haben wollen).

Und was deine angebliche Kontrolle über den speicherbaren Inhalt der Formularfelder angeht... naja, du hast vielleicht noch Träume, aber die Realität sieht ganz anders aus. Dem IE kann man das Nichtspeichern vielleicht abgewöhnen, alle anderen Browser setzen den Benutzerwillen an erste Stelle.

Mal ernsthaft betrachtet: Offenbar ist Sicherheit nicht wichtig - warum versuchst du also, irgendwelche Pseudo-Maßnahmen zu ergreifen, die doch nichts bringen? Es ist für den Angreifer doch vollkommen egal, ob die Session auf dem Server drei Stunden aktiv ist, weil der Mitarbeiter Mittagspause macht, oder ob sie drei Stunden aktiv ist, weil der Logout vergessen wurde.

Bei beiden gilt: Es ist in drei Stunden unmöglich zu schaffen, eine Session-ID zu erraten, dazu braucht man Spionagewissen durch abgehörtes Netzwerk.

- Sven Rautenberg