Liebes Auge,

ich bin es mittlerweile gewöhnt, dass man mich nicht immer versteht. Aber hier sollte der Vergleich nur zeigen, dass eine Bevormundung des Users grundsätzlich keine gute Idee, und in meinen Augen sogar ein dark pattern ist.

Du vermengst in Deinem Posting (so wie ich es gelesen habe) zwei grundsätzlich unterschiedliche Szenarien:

1. gekaperte Session (Passwort unbekannt)
2. gekaperter Account (Passwort bekannt)

Wenn Du nun Admin-Funktionalitäten in NextCloud beschreibst, die nach einer gewissen Zeit der Inaktivität die Eingabe des Passwortes erfordern, wird der erste Fall erfolgreich behindert. Übertrüge man das auf meine Sessions hier im Forum und im MediaWiki, wäre mehr Sicherheit gegeben.

Im zweiten Fall hilft nur eine Passwort-Änderung, damit die Sache zum ersten Fall wird: bestehende Session mit unbekanntem Passwort.

Trotzdem bleibe ich bei meinem Votum, dass ein automatisches Abmelden aller Sessions des Users bei einem Passwort-Wechsel eine Entscheidung des Users bleiben muss, und nicht des Systems, weil der Architekt des Systems unmöglich die Bedürnisse der User in Gänze voraussehen kann.

Liebe Grüße

Felix Riesterer