Das ist mal was interessantes!

Also müsste, um das sicherer, zu machen solch ein Key nicht als Cookie abgelegt werden.
Oder zumindest eben nicht auf die Platte geschrieben werden. Es ist ja eh nur für die aktuelle Session gültig.

Damit ist faktisch jede Art von Passwort elegant zu umgehen solange der Angreifer schon im System ist.

Das sollte auf die Todoliste von Browserherstellern. Cookies nicht mehr auf die Platte zu schreiben wenn da ein Sessionkey drinne ist

Wenn fremde Software auf Deinem System mit Admin-Rechten läuft, kann die auch Browser-Plugins installieren.
Oder, noch einfacher, einen lokalen Proxy registrieren der HTTPS aufbricht (mit einem lokalen Zertifikat, das ja auch installiert werden kann). Dann kann er die cookies (und alles andere auch) schon unterwegs unverschlüsselt abfangen.
Kurzum: Das ist nicht mehr "Dein" Computer. Da hilft es auch nichts wenn die Tools wie Browser keine Files sondern was auch immer nutzen um Daten abzuspeichern.

Danke. Krass, dass so was möglich ist. Ich frage mal beim Provider nach, ob die schauen können, welche Session-Cookies auf dem Zugang aktiv sind, damit die die einmal wegschmeißen...

Grüße

Nja, wenn besser gemacht, dann haben die Token nur eine gewisse kürzere Lebensdauer. (nach 15 bis 60 Minuten läuft bei vielenen APIs so ein Sicherheitstoken ab)

Aber ja, "angemeldet bleiben" kann öfters auch Monate bis Jahre gültig sein.
Hier wäre es gut, wenn beim "Abmelden" solche Cookies ungültig werden und nächstes Mal mit neuem Wert erstellt.
Bzw. es gibt Webportale, wo jeder Client seinen eigenen Eingeloggtbleiben-Keks bekommt und man sie im Portal auch einzeln löschen/sperren kann. Oder zumindestens irgendwo einen Knopf "alle gespeicherten Logins löschen/sperren".

Ob Cookies gelöscht werden oder nicht, ist aber auch eine Frage der Browserkonfiguation, auf die man selbst Einfluss nehmen kann.

Oder auch die Antwort auf die Frage: Immer angemeldet bleiben, bei etlichen Seiten ...

Wer den FireFox nutzt, schaue mal hier Datenschutz & Sicherheit, was man da so alles selbst in der Hand hat.

Grob kann man aber sagen: Bequemlichkeit bei der Browsernutzung geht zu Lasten der Sicherheit. Wenn ich vom Browser erwarte, dass er so allerlei für mich automatisch erledigt, muss ich damit leben, dass jemand anderes das missbrauchen kann. Und das Ergebnis ist schlimmstenfalls, dass ich keinerlei Einfluss mehr auf mein System habe.

Das gilt allgemein. In meinen Sessions / Workshop zu IAM-Themen kommt immer der Spruch: "Du kannst es einfach haben, oder sicher. Such Dir eins aus."

Ich dachte immer, Session Cookies hätten serverseitig eine relativ kurze Gültigkeit, eben um genau solche Szenarien zu verhindern?

Aber OK, jetzt, wo ich das schreibe, fällt mir auf, dass mein Login in Wordpress auch ziemlich lange gültig ist. In der Regel mehrere Wochen.

Ja eigentlich schon, aber du kennst die Vergesslichkeit, Dummheit oder Faulheit von Entwicklern nicht.

[add]
Hier in der DP auch bestimmt ein halbes Jahr, oder eher mehr.
Session-Kekse bis zum Ende der Session, aber das Merken für ein Jahr.