am 26.01.2024 12:43
Ich wurde gerade für den Abschluss eines Updates aufgefordert den Rechner neu zu starten. Da ich ihn nicht direkt neu gestartet habe, sondern etwa zwei Minuten zwischen Herunterfahren und Neustarten lag, ist mir etwas aufgefallen. Ich war zum Zeitpunkt des Herunterfahrens im Konto angemeldet und war nach dem Neustart immer noch angemeldet. Das dürfte doch eigentlich nicht sein, oder? Da mein Computer ca. 2min aus war, hätte er doch bei der comdirect ausgeloggt werden müssen. Wie kann er dann immer noch angemeldet sein? Jeder, der innerhalb der automatischen Abmeldezeit den Computer hochfährt, hat demnach Zugriff auf die Kontodaten.
Gruß kio
am 26.01.2024 12:54
Das ist normal.
Wenn du das nicht willst musst du dich vorher abmelden oder im Browser einstellen daß er beim Beenden die Cookies löscht.
Oder ein privates Fenster benutzen wo das automatisch passiert.
am 26.01.2024 13:10
Habe ich an der Stelle eine Wisenslücke? Ich war mir sicher, dass ich das schon mal anders gesehen habe. Aber womöglich hatte ich da andere Cookieinstellungen. Mir persönlich ist das egal, weil niemand außer mir Zugriff hat. Aber schön finde ich das nicht. Jetzt bin ich nicht so ein Technikfreak, aber eine automatische Abmeldung wenn der Rechner aus ist, lässt sich bestimmt einfach implementieren.
am 26.01.2024 13:25
Beim Login in den persönlichen Bereich werden Session-Cookies gesetzt. Wird der Browser beendet, dann löscht er diese Session-Cookies; startest du ihn neu, bist du automatisch aus dem persönlichen Bereich ausgeloggt (da die entsprechenden Cookies nicht mehr vorhanden sind).
Beim erzwungenen Neustart des Rechners kann es sein, dass der Browser durch das Betriebssystem hart abgewürgt wird, so dass die Session-Cookies weiterhin existieren (unter Windows oft nachvollziehbar, wenn der Browser-Task durch den Task-Manager hart gekillt wird), da der Browser keine Gelegenheit hatte, diese zu löschen - und sofern seitens des Servers kein Timeout getriggert wurde, bist du dann nach dem Neustart noch eingeloggt.
Das automatische Löschen der Cookies beim Beenden des Browsers ist nicht notwendig, da - wie oben beschrieben - Session-Cookies immer beim (regulären) Beenden des Browsers gelöscht werden.
Viele Grüße,
Jörg
am 26.01.2024 13:27
Hallo @Kio,
wir können dich beruhigen. Es ist keine Sicherheitslücke. Es ist eine Einstellung in deinem Browser, so wie @Silver_Wolf es beschrieben hat. Bei dieser Einstellung werden einem die Tabs angezeigt, die man beim Schließen des Browsers geöffnet hatte.
Du findest die Einstellung beim
Viele Grüße
Christoph
am 26.01.2024 13:37
@Joerg78 schrieb:Beim Login in den persönlichen Bereich werden Session-Cookies gesetzt. Wird der Browser beendet, dann löscht er diese Session-Cookies; startest du ihn neu, bist du automatisch aus dem persönlichen Bereich ausgeloggt (da die entsprechenden Cookies nicht mehr vorhanden sind).
Das automatische Löschen der Cookies beim Beenden des Browsers ist nicht notwendig, da - wie oben beschrieben - Session-Cookies immer beim (regulären) Beenden des Browsers gelöscht werden.
Viele Grüße,
Jörg
Das stimmt so nicht, zumindest nicht allgemein.
Das hängt sicherlich vom Browser und den Einstellungen ab.
Ich habe eben mal meinen Firefox normal beendet und neu gestartet.
Dabei werden natürlich alle meine Fenster und Tabs wieder hergestellt. 🙂
Danach war ich hier und auch im Online Banking weiter angemeldet.
am 26.01.2024 13:46
Unabhängig von den Browsersettings sollte der Login in den Computer ja grundätzlich nur mit Passwort möglich sein.
Das kann man aus Bequemlichkeit natürlich auch abschalten, öffnet aber schon mal das erste Scheunentor da dann jeder der sich physikalisch Zugang zum Rechner verschaffen kann schonmal in allen persönlichen Dingen rumschnüffeln kann.
am 26.01.2024 13:55
@Silver_Wolf schrieb:Das stimmt so nicht, zumindest nicht allgemein.
Das hängt sicherlich vom Browser und den Einstellungen ab.
Das ist (leider) richtig, Firefox widerspricht da der RFC und das Verhalten wird im Mozilla-Bugzilla sehr kontrovers diskutiert. Fakt ist: Ein Session-Cookie muss nach Beendigung der Session eliminiert werden . Dass die Session-Wiederherstellung von Firefox (meines Wissens Opt-In-Option?) leider auch Session-Cookies wiederherstellt, mag aus User-Sicht komfortabel sein, aus Sicherheitsaspekten ist das ziemlich fragwürdig. Etwas, was auch als "unresolved Question" auf deren Seite steht.
Aber danke für den Hinweis auf dieses Verhalten von Firefox.
Viele Grüße,
Jörg
am 26.01.2024 14:04
@Joerg78 schrieb:
@Silver_Wolf schrieb:Das stimmt so nicht, zumindest nicht allgemein.
Das hängt sicherlich vom Browser und den Einstellungen ab.
Das ist (leider) richtig, Firefox widerspricht da der RFC und das Verhalten wird im Mozilla-Bugzilla sehr kontrovers diskutiert. Fakt ist: Ein Session-Cookie muss nach Beendigung der Session eliminiert werden . Dass die Session-Wiederherstellung von Firefox (meines Wissens Opt-In-Option?) leider auch Session-Cookies wiederherstellt, mag aus User-Sicht komfortabel sein, aus Sicherheitsaspekten ist das ziemlich fragwürdig. Etwas, was auch als "unresolved Question" auf deren Seite steht.
Aber danke für den Hinweis auf dieses Verhalten von Firefox.
Viele Grüße,
Jörg
Dieses Verhalten finde ich durchaus praktisch und an einem privaten Rechner sehe ich da auch keinerlei Sichrheitsproblem.
Im Büro oder einem anderen fremden Rechner ist das natürlich anders.
Da lässt man keine Session offen sondern meldet sich explizit ab.
am 26.01.2024 14:27
Ich persönlich habe da keine Bedenken, wie gesagt.
Aber es ist schon wieder komisch. Ich habe das vorhin dreimal probiert, also runter- und wieder raufgefahren und blieb angemeldet. Dann habe ich das mit einer anderen Seite mit Anmeldung versucht. Da war ich dann prompt abgemeldet, nachdem der Rechner aus gewesen ist. Technisch also möglich.
Aber, plötzlich war ich dann auch bei der comdirct abgemeldet. Und komischerweise muss ich mich jetzt sogar mit Tan anmelden. Wieder mehrmals probiert, Ergebnis bleibt gleich, rätselhaft, rätselhaft.
Langweilig wirds nicht. 😅
gruß kio