nicht angemeldet
Ausloggen?
0
Ausloggen?
Hallo,
mir hat jemand gesagt, ich müßte mich bei EBay, web.de usw. immer ausloggen und nicht nur einfach den Browser beenden. Sonst könnte jemand evtl. meinen Account hacken. Stimmt das?
Danke und Gruß
Lena
-
Hi,
mir hat jemand gesagt, ich müßte mich bei EBay, web.de usw. immer ausloggen und nicht nur einfach den Browser beenden. Sonst könnte jemand evtl. meinen Account hacken. Stimmt das?
Theoretisch ja. Wenn die Sitzung erst nach x Minuten ausläuft, hat ein Angreifer die Chance innerhalb dieser x Minuten deine Sitzungs-ID vorzugaukeln und sich Zugang zu deinem Account zu verschaffen. Meist wird aber auch noch die IP überprüft, die man dann zusätzlich fälschen ("spoofen") müsste.
Generell ist es aber immer besser, wirklich zuerst auf "Abmelden" oder "Logout" zu gehen, anstatt nur den Browser zu schließen. Wenn die Anwendung nämlich schlecht programmiert ist, reicht möglicherweise ein erneutes Besuchen der Seite auf demselben Rechner, um noch mit deinem Account angemeldet zu sein.Der Yeti
--
Habe nun, ach! WInfo, BWL, und Mathe, Und leider auch Info!
Durchaus studiert, mit heißem Bemühn. Da steh' ich nun, ich armer Thor!
Und bin so klug als wie zuvor!
sh:( fo:| ch:? rl:? br:< n4:& ie:( mo:| va:| de:[ zu:) fl:| ss:) ls:< js:|
[Link:http://community.de.selfhtml.org/fanprojekte/selfcode.htm]-
Hallo
Bei web. de und e-mail anbietern kann ichs echt nur empfehlen! (Ich glaub aber, dass web.de beim nächsten mal auch meckert.)
bei ebay melde ich mich eigentlich nie ab, aber besser wär es wohl.
-
你好 Yeti,
[...] Meist wird aber auch noch die IP überprüft, die man dann
zusätzlich fälschen ("spoofen") müsste.Das ist falsch, die IP wird (zu recht) bei den wenigsten Anbietern als
Kriterium zur Benutzererkennung benutzt. Denk mal beispielsweise an all die
vielen Freenet- und AOL-Kunden, die uU bei jedem Request eine andere IP
haben, die wuerde man alle aussperren.再见,
克里斯蒂安--
Die Stärke des Geistes ist unendlich, die Muskelkraft dagegen ist begrenzt.
-
Hi,
Das ist falsch, die IP wird (zu recht) bei den wenigsten Anbietern als
Kriterium zur Benutzererkennung benutzt. Denk mal beispielsweise an all die
vielen Freenet- und AOL-Kunden, die uU bei jedem Request eine andere IP
haben, die wuerde man alle aussperren.Bitte? Dann würde doch lediglich die Session beendet, wenn jemand mit der richtigen Session-ID aber der falschen IP (zum Beispiel weil Verbindung abgebrochen ist und neu angewählt wurde) versucht, auf den geschützten Bereich zuzugreifen. So kenne ich es aber von vielen Anbietern, als ich noch mit Analogmodem online war. Der Browser bleibt offen, aber wenn du dich neu einwählst (und damit auch eine neue IP bekommst), darfst du dich erneut authentifizieren. Auch wenn es nur eine Minute war, die du dafür gebraucht hast (und somit noch kein Timeout zugeschlagen haben kann).
Ausgesperrt wird dadurch niemand, schließlich kann man sich ja neu anmelden.Wieso sollten Freenet- und AOL-Kunden außerdem bei jedem Request eine neue IP bekommen?! Ist doch viel zu umständlich und sinnlos. Nein, vielmehr bei jeder Neueinwahl.
Der Yeti
--
Habe nun, ach! WInfo, BWL, und Mathe, Und leider auch Info!
Durchaus studiert, mit heißem Bemühn. Da steh' ich nun, ich armer Thor!
Und bin so klug als wie zuvor!
sh:( fo:| ch:? rl:? br:< n4:& ie:( mo:| va:| de:[ zu:) fl:| ss:) ls:< js:|
[Link:http://community.de.selfhtml.org/fanprojekte/selfcode.htm]-
你好 Yeti,
Das ist falsch, die IP wird (zu recht) bei den wenigsten Anbietern als
Kriterium zur Benutzererkennung benutzt. Denk mal beispielsweise an all
die vielen Freenet- und AOL-Kunden, die uU bei jedem Request eine
andere IP haben, die wuerde man alle aussperren.Bitte? Dann würde doch lediglich die Session beendet, wenn jemand mit
der richtigen Session-ID aber der falschen IP (zum Beispiel weil
Verbindung abgebrochen ist und neu angewählt wurde) versucht, auf
den geschützten Bereich zuzugreifen.Wenn ansonsten ueber die Requests hinweig die IP gleich bleiben wuerde,
haettest du recht. Dem ist aber nicht so, siehe unten.So kenne ich es aber von vielen Anbietern, als ich noch mit Analogmodem
online war. Der Browser bleibt offen, aber wenn du dich neu einwählst
(und damit auch eine neue IP bekommst), darfst du dich erneut< authentifizieren. Auch wenn es nur eine Minute war, die du dafür
gebraucht hast (und somit noch kein Timeout zugeschlagen haben kann).
Ja, eine zeitlang hat “man” das so gemacht, aber seit Masquerading und
dynamische, transparente Proxies in “Mode” sind, wird das nicht mehr
getan. Die IP ist nunmal kein zuverlaessiges Mittel mehr, einen Benutzer
zu identifizieren, schon lange nicht mehr.Ausgesperrt wird dadurch niemand, schließlich kann man sich ja neu
anmelden.Ja, und dann ist er beim naechsten Request wieder ausgeloggt, weil die IP
eventuell schon wieder geaendert hat...Wieso sollten Freenet- und AOL-Kunden außerdem bei jedem Request eine
neue IP bekommen?! Ist doch viel zu umständlich und sinnlos. Nein,
vielmehr bei jeder Neueinwahl.Nein, Freenet und AOL sind Paradebeispiele fuer transparente und dynamische
Proxies. Ein Benutzer kann bei einem Request IP A haben, beim naechsten
Request hat er dann die IP B. Wird zur Last-Verteilung gemacht, damit nicht
ein Proxy alle Requests abkriegt, sondern die Last auf n Proxies verteilt
wird.再见,
克里斯蒂安--
Wenn auf Erden alle das Schoene als schoen erkennen, so ist dadurch schon das Haessliche bestimmt.
-
Hi,
Nein, Freenet und AOL sind Paradebeispiele fuer transparente und dynamische
Proxies. Ein Benutzer kann bei einem Request IP A haben, beim naechsten
Request hat er dann die IP B. Wird zur Last-Verteilung gemacht, damit nicht
ein Proxy alle Requests abkriegt, sondern die Last auf n Proxies verteilt
wird.Aaah, achso. Das wusste ich noch nicht. Also, dass sie transparente Proxies verwenden schon. Aber dass ein Benutzer auch über mehrere hereinkommt, wusste ich noch nicht.
Der Yeti
--
Habe nun, ach! WInfo, BWL, und Mathe, Und leider auch Info!
Durchaus studiert, mit heißem Bemühn. Da steh' ich nun, ich armer Thor!
Und bin so klug als wie zuvor!
sh:( fo:| ch:? rl:? br:< n4:& ie:( mo:| va:| de:[ zu:) fl:| ss:) ls:< js:|
[Link:http://community.de.selfhtml.org/fanprojekte/selfcode.htm]
-
-
-
-
Theoretisch ja. Wenn die Sitzung erst nach x Minuten ausläuft, hat ein Angreifer die Chance innerhalb dieser x Minuten deine Sitzungs-ID vorzugaukeln und sich Zugang zu deinem Account zu verschaffen.
Hallo,
so ganz verstehe ich das nicht. Wo ist der Unterschied, ob ich den Browser einfach schliesse oder still vor meinem Rechner sitze und z.B. bei EBay auf das Auslaufen einer Auktion warte?
Oder ob ich meine E-Mails gerade lese und somit ja auch inaktiv bin?Die Sitzung ist in beiden Fällen noch nicht ausgelaufen. Kann denn jemand auch in diesem Fall meine Sitzung kapern?
Wenn nein, warum geht das in dem einen Fall und in dem anderen Fall nicht?Gruß
Lena
-