AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Klatsch und Tratsch Hab isch Frage: Webseiten"einbruch"
Thema durchsuchen
Ansicht
Themen-Optionen

Hab isch Frage: Webseiten"einbruch"

Ein Thema von Lemmy · begonnen am 24. Apr 2023 · letzter Beitrag vom 26. Apr 2023
Antwort Antwort
Seite 2 von 2     12   
Delphi.Narium

Registriert seit: 27. Nov 2017
2.490 Beiträge
 
Delphi 7 Professional
 
#11

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 09:25
Ob Cookies gelöscht werden oder nicht, ist aber auch eine Frage der Browserkonfiguation, auf die man selbst Einfluss nehmen kann.

Oder auch die Antwort auf die Frage: Immer angemeldet bleiben, bei etlichen Seiten ...

Wer den FireFox nutzt, schaue mal hier Datenschutz & Sicherheit, was man da so alles selbst in der Hand hat.

Grob kann man aber sagen: Bequemlichkeit bei der Browsernutzung geht zu Lasten der Sicherheit. Wenn ich vom Browser erwarte, dass er so allerlei für mich automatisch erledigt, muss ich damit leben, dass jemand anderes das missbrauchen kann. Und das Ergebnis ist schlimmstenfalls, dass ich keinerlei Einfluss mehr auf mein System habe.

Geändert von Delphi.Narium (26. Apr 2023 um 11:11 Uhr) Grund: Schreibfehler
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.640 Beiträge
 
#12

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 10:07
Grob kann man aber sagen: Bequemlichkeit bei der Browsernutzung geht zu Lasten der Sicherheit.
Das gilt allgemein. In meinen Sessions / Workshop zu IAM-Themen kommt immer der Spruch: "Du kannst es einfach haben, oder sicher. Such Dir eins aus."
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.066 Beiträge
 
Delphi 12 Athens
 
#13

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 10:44
Nja, wenn besser gemacht, dann haben die Token nur eine gewisse kürzere Lebensdauer. (nach 15 bis 60 Minuten läuft bei vielenen APIs so ein Sicherheitstoken ab)

Aber ja, "angemeldet bleiben" kann öfters auch Monate bis Jahre gültig sein.
Hier wäre es gut, wenn beim "Abmelden" solche Cookies ungültig werden und nächstes Mal mit neuem Wert erstellt.
Bzw. es gibt Webportale, wo jeder Client seinen eigenen Eingeloggtbleiben-Keks bekommt und man sie im Portal auch einzeln löschen/sperren kann. Oder zumindestens irgendwo einen Knopf "alle gespeicherten Logins löschen/sperren".
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (26. Apr 2023 um 10:48 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von dummzeuch
dummzeuch

Registriert seit: 11. Aug 2012
Ort: Essen
1.605 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#14

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 10:46
Ich dachte immer, Session Cookies hätten serverseitig eine relativ kurze Gültigkeit, eben um genau solche Szenarien zu verhindern?

Aber OK, jetzt, wo ich das schreibe, fällt mir auf, dass mein Login in Wordpress auch ziemlich lange gültig ist. In der Regel mehrere Wochen.
Thomas Mueller
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.066 Beiträge
 
Delphi 12 Athens
 
#15

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 10:53
Ja eigentlich schon, aber du kennst die Vergesslichkeit, Dummheit oder Faulheit von Entwicklern nicht.

[add]
Hier in der DP auch bestimmt ein halbes Jahr, oder eher mehr.
Session-Kekse bis zum Ende der Session, aber das Merken für ein Jahr.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (26. Apr 2023 um 11:32 Uhr)
  Mit Zitat antworten Zitat
Rollo62

Registriert seit: 15. Mär 2007
4.094 Beiträge
 
Delphi 12 Athens
 
#16

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 12:13
... am Ende landet ein Cookie im Browser als Beweis das er authentifiziert wurde. Wird dieses Cookie Abgefangen, kann ein Angreifer damit mit seinem Browser den Login umgehen und ist sofort "drin".
Ich dachte immer ein SessionCookie wird zusätzlich verifiziert und abgesichert, also z.B. mit UserAgent, IP-Adresse und so weiter.
Klar, auch das kann man faken, aber so ohne Weiteres sollten ein SessionCookie von Browser PC-A bei Browser PC-B doch nicht laufen, oder etwa doch ?
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.583 Beiträge
 
Delphi 11 Alexandria
 
#17

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 12:22
Klar, auch das kann man faken, aber so ohne Weiteres sollten ein SessionCookie von Browser PC-A bei Browser PC-B doch nicht laufen, oder etwa doch ?
Doch, denn auch z.B. die IP kann sich ändern (z.B. Wechsel zwischen W-LAN und Mobilfunk). Du kannst ein Gerät nicht immer eindeutig identifizieren.

Wenn eine weitere bestehende Session weiterlebt, wenn das Passwort geändert wird, würde ich das allerdings als grob fahrlässigen Fehler einstufen. Das geht gar nicht.
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:43 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz