Thread Sollte man Sessions nach Passwortwechsel invalide machen? (10 answers)
Opened by GwenDragon at 2021-12-21 11:18

haj
 2021-12-21 12:15
#194111 #194111
User since
2015-01-07
439 articles
BenutzerIn

user image
Die Session, in der das Passwort geändert wurde, braucht man meiner Ansicht nach nicht ungültig zu machen.

Andere Sessions des gleichen Benutzers dagegen unbedingt: Wenn Du den Verdacht hast, dass jemand Dein Passwort-Post-it gefunden hat, dann willst Du sofort Dein Passwort ändern. Dabei sollten aber andere Sessions des gleichen Benutzers sofort ungültig werden: Sonst werkelt der Hacker munter weiter, bis ihn mal ein Cookie-Timeout ereilt.

View full thread Sollte man Sessions nach Passwortwechsel invalide machen?