Rolf B: Session Handling bei Passwortänderung

Beitrag lesen

SELF-Forum

Session Handling bei Passwortänderung

Rolf B (Versionen)
Informationen zu den Bewertungsregeln

Hallo alle,

wir werden im Moment von einem "Bug Bounty Hunter" mit Mails bombardiert, der behauptet, eine schreckliche Sicherheitslücke im Wiki gefunden zu haben: Wenn ich von zwei Browsern aus mit dem gleichen User angemeldet bin und im Browser A mein Passwort ändere, bleibe ich im Browser B angemeldet. Jo. Ist so. Bugs Bounty meint, man müsse korrekterweise bei einer Passwortänderung alle Fremdsessions invalidieren. Kann man sicherlich machen. In einer High Security Site.

Das Problem besteht solange, bis ich den Browser schließe, danach ist der Session-Keks weg. Ein "angemeldet bleiben" greift nach Passwortänderung nicht mehr.

Natürlich kann ich in den Dev-Tools aus dem Session-Keks einen dauerhaften Keks machen. Dann kann ich den Browser schließen, wieder öffnen und die Session ist immer noch da (es sei denn, ich warte bis zum Session-Timeout, bevor ich den Browser wieder starte). Der Session-Timeout ist nicht allzulang (den genauen Wert kenne ich gerade nicht, aber unter einer Stunde).

Nun haben wir kein Bounty-Programm ausgelobt. Der Typ drängt sich also auf und wenn man so im Netz guckt, werden etliche Leute auf diese Weise genervt. Insofern antworte ich einfach nicht. Im Moment verlangt er noch kein Geld, sondern fragt nur einmal pro Woche, wie denn der Stand der Dinge sei und dass er eine lange Liste mit weiteren Vulnerabilities habe. Was schon nervig genug ist. Heute kam eine gleichlautende Mail von einer anderen Mailadresse - sprich: das ist nicht nur Scam, sondern auch Spam.

Aber mal unabhängig von Spam oder Scam - wie seht ihr diese Lücke? Ist sie ernst zu nehmen? Wie gravierend muss man das für eine Seite wie das Self-Wiki einschätzen? Im Homebanking würde ich sagen: sehr gravierend. Aber selbst die "große Wikipedia" hat diesen Fehler, d.h. er ist in den letzten Mediawiki-Versionen nicht behoben worden.

Nachtrag: und unser Forum hat ihn auch. Selbst wenn ich den Browser schließe und neu öffne, lässt mich die "Angemeldet bleiben" Funktion eingeloggt, obwohl das Passwort geändert wurde. Hm. @Christian Kruse, wie siehst Du das?

Rolf

--
sumpsi - posui - obstruxi
Beitrag melden
Informationen zu den Bewertungsregeln
0 16

Session Handling bei Passwortänderung

Rolf B
  • sicherheit
  • wiki
  1. 0
    Auge
  2. 0
    Raketenwilli
  3. 0
    Felix Riesterer
  4. 0
    JürgenB
    1. 0
      Rolf B
      1. 1
        Felix Riesterer
        1. 0
          Auge
          • meinung
          • sicherheit
          • wiki
          1. 0
            Felix Riesterer
            1. 0
              Rolf B
            2. 1
              Auge
              • meinung
              • sicherheit
              1. -2
                Felix Riesterer
                1. 0
                  MudGuard
                2. 0
                  Auge
                3. 0
                  Rolf B
      2. 0

        Session-Files durchsuchen und löschen

        Raketenwilli