Hallo Felix,

das Thema ist sogar noch größer, hier habe ich eine Diskussion dazu gefunden.

Allerdings diskutieren sie da auch über Autorisierungsverfahren, die wir hier nicht haben (JWT).

Interessant fand ich, dass man Session Tokens invalidieren sollte, wenn sich Benutzerrechte ändern - für den Fall, dass die effektiven Rechte im Sessionstate gespeichert sind.

Eine Entscheidungfreiheit des Benutzers wird dort auch vorgeschlagen. Aber nur von einem, die Empfehlung des OWASP ist eine andere. Ob man ihr folgt, ist natürlich nochmal was anderes, und ist eine Folgerung aus dem Security-Assessment des Seitenbetreibers, kein Wunsch der bevormundungsfeindlichen User.

Natürlich hast Du recht, wenn Du sagst, dass eine Zwangszerstörung aller alten Session-Tokens für den Benutzer unbequem ist. Aber wenn's um Bequemlichkeit geht, dann war die Einführung von Passworten schon der Kardinalfehler. Security ist immer eine Form von Bevormundung. Weil die meisten User faule Säcke sind, was Sicherheit angeht (guck unter die Tastatur oder in die Schreibtisch-Schublade…).

Anyroad - was das Wiki angeht, hängen wir am Fliegenfänger von Mediawiki. Im Forum hätten wir Entscheidungsspielraum. Im Moment spüre ich aber keinen Druck, den Status Quo zu ändern.

Rolf