Felix Riesterer: Session Handling bei Passwortänderung

Beitrag lesen

SELF-Forum

Session Handling bei Passwortänderung

Felix Riesterer Homepage des Autors
Informationen zu den Bewertungsregeln

Lieber Rolf,

wenn ein Mensch an zweierlei Clients jeweils mit einem Session-Keks ausgerüstet eine stehende Anmeldung hat, dann will der das so haben. Soweit so gut.

Wenn der Mensch sein Passwort ändert, dann kann man auf zweierlei Arten argumentieren:

  1. Eine Passwortänderung ändert nur das Passwort. Sessions bleiben unverändert.
  2. Eine Passwortänderung soll mögliche Missbraucher einer geklauten Session aussperren. Bestehende Sessions werden gekillt, mit Ausnahme derjenigen, in der die Änderung erfolgt ist.

Beide Argumentationen haben meiner Meinung nach ihre validen Anwendungsfälle. Es sollte auf der PW-Änderungsseite eine Checkbox geben, die dem Menschen die Wahl zwischen den beiden Möglichkeiten lässt.

Liebe Grüße

Felix Riesterer

Beitrag melden
Informationen zu den Bewertungsregeln
0 16

Session Handling bei Passwortänderung

Rolf B
  • sicherheit
  • wiki
  1. 0
    Auge
  2. 0
    Raketenwilli
  3. 0
    Felix Riesterer
  4. 0
    JürgenB
    1. 0
      Rolf B
      1. 1
        Felix Riesterer
        1. 0
          Auge
          • meinung
          • sicherheit
          • wiki
          1. 0
            Felix Riesterer
            1. 0
              Rolf B
            2. 1
              Auge
              • meinung
              • sicherheit
              1. -2
                Felix Riesterer
                1. 0
                  MudGuard
                2. 0
                  Auge
                3. 0
                  Rolf B
      2. 0

        Session-Files durchsuchen und löschen

        Raketenwilli