Thread Sollte man Sessions nach Passwortwechsel invalide machen? (10 answers)
Opened by GwenDragon at 2021-12-21 11:18

haj
 2021-12-22 08:58
#194113 #194113
User since
2015-01-07
439 articles
BenutzerIn

user image
2021-12-21T23:42:00 styx-cc
Und wenn der Verdacht falsch war und der Hacker statt des Post-Its deine aktuelle Session gekapert hat?

Das ist ein etwas anderes Szenario: Wenn aktuelle Sessions gekapert werden können, muss der Hacker gar kein Passwort eingeben. Da hilft nur ein Logout und danach Beheben der Ursache.

Beim Passwort-Wechsel muss man das aktuelle Passwort angeben, selbst dann, wenn man schon angemeldet war: Dadurch wird verhindert, dass der Hacker, der Deine aktuelle Session gekapert hat, hinter Deinem Rücken das Passwort ändert.

2021-12-21T23:42:00 styx-cc
Ich würde zumindest auch die aktuelle Session durch eine neue ersetzen und an den ändernden Clienten aushändigen - dazu brauchts ja keine Nutzerinteraktion, denn der Client hat ja gerade das Passwort geändert und sich damit authentifiziert.

Jo, das kann man machen, das passiert automagisch, wenn Authentisierungsdaten ins Session Cookie eingehen. Es hängt von der Anwendung ab, was an der "Session" alles hängt, aber im Normalfall wird ein Benutzer sein Passwort nicht mitten während einer ungespeicherten Transaktion ändern.

2021-12-21T23:42:00 styx-cc

Bei dem OWASP-Artikel geht es nicht um einen Passwortwechsel, sondern um einen Passwort Reset: Der Nutzer hat sein Passwort vergessen und will trotzdem ins System. Im Unterschied zum Passwortwechsel ist er damit nicht im System authentisiert. Da passt es dann schon, ihn auf die Login-Seite umzulenken, damit er eine neue, reguläre Session aufmachen kann.

View full thread Sollte man Sessions nach Passwortwechsel invalide machen?