Rolf B: Session Handling bei Passwortänderung

Beitrag lesen

Hallo JürgenB,

oder andersrum: der User ändert sein Passwort, weil er es für kompromittiert hält, und der Hacker hat trotzdem noch Zugriff, bis seine Session abläuft (ob der dafür nun die Session oder das Passwort oder einen PC mit Daueranmeldung geklaut hat, ist dabei unerheblich).

Im Wiki würde ich das nur in Form eines Bug-Reports an Mediawiki adressieren. Aber ich denke, die bekommen eh schon ähnliche Mails.

Im Forum kann Christian das möglicherweise einbauen. Sofern man es für nötig hält.

Aber meine Frage war ja eher: Ist das ein relevanter Bug oder ist das die Wichtigmacherei eines geldgeilen Spammers? Es ist ja selbst unter Windows so: Ändere ich mein Passwort, fliege ich nicht automatisch aus allen Sessions raus, die mit diesem User aufgebaut wurden.

Der größere Bug besteht übrigens im Verhalten des "angemeldet bleiben" Häkchens. Damit kriege ich einen Cookie, der mir ohne Passworteingabe eine eingeloggte Session beschert. Und auch dieser Cookie bleibt nach Passwortänderung gültig!

Felix' Idee einer Wahlmöglichkeit gefällt mir da eher weniger. Ob man Sessions nach Passwortänderung invalidiert, ist das Ergebnis eines Security-Assessments der betreffenden Site, keine Entscheidung des einzelnen Users. Vor allem ist das Finden aller Sessions eines Users gar nicht so leicht, die sind ja über ihre Session-ID geschlüsselt und typischerweise irgendwie codiert gespeichert. Das ist aufwändig zu implementieren.

Aber der Konsens scheint ja zu sein: Das ist nicht so gravierend.

Rolf

--
sumpsi - posui - obstruxi