Thread Sollte man Sessions nach Passwortwechsel invalide machen?
(10 answers)
Opened by GwenDragon at 2021-12-21 11:18 2021-12-21T23:42:00 styx-cc Das ist ein etwas anderes Szenario: Wenn aktuelle Sessions gekapert werden können, muss der Hacker gar kein Passwort eingeben. Da hilft nur ein Logout und danach Beheben der Ursache. Beim Passwort-Wechsel muss man das aktuelle Passwort angeben, selbst dann, wenn man schon angemeldet war: Dadurch wird verhindert, dass der Hacker, der Deine aktuelle Session gekapert hat, hinter Deinem Rücken das Passwort ändert. 2021-12-21T23:42:00 styx-cc Jo, das kann man machen, das passiert automagisch, wenn Authentisierungsdaten ins Session Cookie eingehen. Es hängt von der Anwendung ab, was an der "Session" alles hängt, aber im Normalfall wird ein Benutzer sein Passwort nicht mitten während einer ungespeicherten Transaktion ändern. 2021-12-21T23:42:00 styx-cc Bei dem OWASP-Artikel geht es nicht um einen Passwortwechsel, sondern um einen Passwort Reset: Der Nutzer hat sein Passwort vergessen und will trotzdem ins System. Im Unterschied zum Passwortwechsel ist er damit nicht im System authentisiert. Da passt es dann schon, ihn auf die Login-Seite umzulenken, damit er eine neue, reguläre Session aufmachen kann. |