Christoph Zurnieden: Programmiertechnik - Loginscript und Zurückbutton des Browsers

Beitrag lesen

SELF-Forum

Programmiertechnik - Loginscript und Zurückbutton des Browsers

Christoph Zurnieden
Informationen zu den Bewertungsregeln

Hi!

Hi,

Genau. Wir sind die Sparkasse und das Problem ist das Online-Banking, wo ja auch ein Login gefordert wird. Man stelle sich nur den Aufschrei vor, wenn bei Planetopia darüber berichtet wird, wie einfach man doch Online-Banking-Systeme knacken kann, indem man einfach die Zurück-Tasten des Browsers benutzt.

Das wäre zwar völliger Humbug, jedoch schlecht für das Image des Onlinebankings das ja hauptsächlich der (bei Sparkassen nicht so ganz koscheren) Gewinnoptimierung dient.
Es ist also kein technisches Problem und deshalb auch nicht mit technischen Mitteln lösbar.
Jeglicher Workaround ist bloße Augenwischerei.

Allerdings hat es in vergangener Zeit echte und auch noch  erhebliche Sicherheitslücken beim Onlinebanking gegeben, die weder die Runde machten, geschweige denn einen Aufschrei verursachten, und ausreichend viele Leute von der Benutzung abhielten, das es sich nicht mehr lohnt.

Ausgeloggt ist ausgeloggt. Da hilft auch kein "Zurück" und neu laden.

Das heißt ja, das man sich gar nicht mehr einloggen kann. Das ist aber nicht der Fall. Es wird nur ein Würgaround eingebastelt, der es verhüten soll, das sich jemand per Back-Button neu einloggt. Was durch eine Einstellung des Browsers ermöglicht wird, also durch eine freie Entscheidung des Benutzers[1].

Es tut mit leid, aber für mich ist das immer noch aus technischer Sicht völlig hanebüchen und sinnlos.
Aber wie Du schon richtig sagtest gibt es dafür andere als technische Gründe, die auch ausreichen können sowas zu implementieren und die sogar ich zähneknirschend und unter heftigem Protest akzeptieren muß.

Nun mein lieber Erri, trifft so ein Grund zu?
Dann versuche es einmal damit, die Session-ID bereits vor dem Login zu vergeben, sprich: bereist das Loginformular läuft über Sessions (z.B. per "hidden" o.ä.). Ist dann die Session abgelaufen nach dem Ausloggen wird die Abgelaufenen beim Back-Button-Login nochmal benutzt und triggert besagten Fehler.

Diese Methode ist übrigens nicht sicher! Es ist ein bloßer Würgaround, die von Dir verlangte Fehlermeldung zu produzieren!

so short

Christoph Zurnieden

[1] Ja, mir ist durchaus klar, was jetzt eingeworfen werden könnte, ich erlebe es ja fast täglich selber *sigh*

Beitrag melden
Informationen zu den Bewertungsregeln
0 28

Programmiertechnik - Loginscript und Zurückbutton des Browsers

Erri
  • php
  1. 0
    Nadja
    1. 0
      Erri
      1. 0
        Nadja
        1. 0
          Erri
          1. 0
            Nadja
  2. 0
    Dennis
    1. 0
      Erri
      1. 0
        Christoph Zurnieden
        1. 0
          Erri
          1. 0
            Christoph Zurnieden
            1. 0
              Erri
              1. 0
                Christoph Zurnieden
        2. 0
          Martin Hölter
          1. 0
            Christoph Zurnieden
            1. 0
              Erri
              1. 0
                Martin Hölter
                1. 0
                  Christoph Zurnieden
                  1. 0
                    Martin Hölter
                    1. 0
                      Erri
                    2. 0
                      Christoph Zurnieden
                      1. 0

                        Sparkassen

                        Martin Hölter
                        • sonstiges
                        1. 0
                          Christoph Zurnieden
                  2. 0
                    Erri
                    1. 0
                      Christoph Zurnieden
                      1. 0
                        Christoph Zurnieden
                        1. 0
                          Erri
                          1. 0
                            Christoph Zurnieden