Opened by GwenDragon at 2021-12-21 11:18
User since
2006-05-20
533 Artikel
BenutzerIn
2006-05-20
533 Artikel
BenutzerIn
Und wenn der Verdacht falsch war und der Hacker statt des Post-Its deine aktuelle Session gekapert hat?
Ich würde zumindest auch die aktuelle Session durch eine neue ersetzen und an den ändernden Clienten aushändigen - dazu brauchts ja keine Nutzerinteraktion, denn der Client hat ja gerade das Passwort geändert und sich damit authentifiziert.
Anlehnend an:
https://security.stackexchange.com/questions/10512... (insbes. OWASP)
Edit:
Auch die Idee, dass der Browser/Nutzer direkt seinen Password-Cache für gespeicherte Paswörter erneuern kann, wenn man den Benutzer auf die Loginseite leitet finde ich nicht verkehrt - ist aber eher eine useability/geschmacksfrage.
Last edited: 2021-12-22 00:47:10 +0100 (CET)
Ich würde zumindest auch die aktuelle Session durch eine neue ersetzen und an den ändernden Clienten aushändigen - dazu brauchts ja keine Nutzerinteraktion, denn der Client hat ja gerade das Passwort geändert und sich damit authentifiziert.
Anlehnend an:
https://security.stackexchange.com/questions/10512... (insbes. OWASP)
Edit:
Auch die Idee, dass der Browser/Nutzer direkt seinen Password-Cache für gespeicherte Paswörter erneuern kann, wenn man den Benutzer auf die Loginseite leitet finde ich nicht verkehrt - ist aber eher eine useability/geschmacksfrage.
Last edited: 2021-12-22 00:47:10 +0100 (CET)
Pörl.