Thema "Betreff: Sicherheitslücke?" in Off-Topic

Sicherheitslücke?

Kio — Fri, 26 Jan 2024 11:43:35 GMT

Ich wurde gerade für den Abschluss eines Updates aufgefordert den Rechner neu zu starten. Da ich ihn nicht direkt neu gestartet habe, sondern etwa zwei Minuten zwischen Herunterfahren und Neustarten lag, ist mir etwas aufgefallen. Ich war zum Zeitpunkt des Herunterfahrens im Konto angemeldet und war nach dem Neustart immer noch angemeldet. Das dürfte doch eigentlich nicht sein, oder? Da mein Computer ca. 2min aus war, hätte er doch bei der comdirect ausgeloggt werden müssen. Wie kann er dann immer noch angemeldet sein? Jeder, der innerhalb der automatischen Abmeldezeit den Computer hochfährt, hat demnach Zugriff auf die Kontodaten.

Gruß kio

Betreff: Sicherheitslücke?

Silver_Wolf — Fri, 26 Jan 2024 11:54:33 GMT

Das ist normal.

Wenn du das nicht willst musst du dich vorher abmelden oder im Browser einstellen daß er beim Beenden die Cookies löscht.

Oder ein privates Fenster benutzen wo das automatisch passiert.

Betreff: Sicherheitslücke?

Kio — Fri, 26 Jan 2024 12:10:47 GMT

Habe ich an der Stelle eine Wisenslücke? Ich war mir sicher, dass ich das schon mal anders gesehen habe. Aber womöglich hatte ich da andere Cookieinstellungen. Mir persönlich ist das egal, weil niemand außer mir Zugriff hat. Aber schön finde ich das nicht. Jetzt bin ich nicht so ein Technikfreak, aber eine automatische Abmeldung wenn der Rechner aus ist, lässt sich bestimmt einfach implementieren.

Betreff: Sicherheitslücke?

Joerg78 — Fri, 26 Jan 2024 12:25:18 GMT

Beim Login in den persönlichen Bereich werden Session-Cookies gesetzt. Wird der Browser beendet, dann löscht er diese Session-Cookies; startest du ihn neu, bist du automatisch aus dem persönlichen Bereich ausgeloggt (da die entsprechenden Cookies nicht mehr vorhanden sind).

Beim erzwungenen Neustart des Rechners kann es sein, dass der Browser durch das Betriebssystem hart abgewürgt wird, so dass die Session-Cookies weiterhin existieren (unter Windows oft nachvollziehbar, wenn der Browser-Task durch den Task-Manager hart gekillt wird), da der Browser keine Gelegenheit hatte, diese zu löschen - und sofern seitens des Servers kein Timeout getriggert wurde, bist du dann nach dem Neustart noch eingeloggt.

Das automatische Löschen der Cookies beim Beenden des Browsers ist nicht notwendig, da - wie oben beschrieben - Session-Cookies immer beim (regulären) Beenden des Browsers gelöscht werden.

Viele Grüße,

Jörg

Re: Sicherheitslücke?

SMT_Chris — Fri, 26 Jan 2024 12:27:06 GMT

Hallo @Kio,

wir können dich beruhigen. Es ist keine Sicherheitslücke. Es ist eine Einstellung in deinem Browser, so wie @Silver_Wolf es beschrieben hat. Bei dieser Einstellung werden einem die Tabs angezeigt, die man beim Schließen des Browsers geöffnet hatte.

Du findest die Einstellung beim

Chrome unter "Einstellungen" > "Beim Start". Dort einfach "Neuer Tab" Seite öffnen anwählen.
Firefox unter "Einstellungen" > "Allgemein" >"Start" > Dort das Häkchen bei "vorherige Fenster und Tabs öffnen" entfernen.

Viele Grüße

Christoph

Betreff: Sicherheitslücke?

Silver_Wolf — Fri, 26 Jan 2024 12:37:57 GMT

@Joerg78 schrieb:
Beim Login in den persönlichen Bereich werden Session-Cookies gesetzt. Wird der Browser beendet, dann löscht er diese Session-Cookies; startest du ihn neu, bist du automatisch aus dem persönlichen Bereich ausgeloggt (da die entsprechenden Cookies nicht mehr vorhanden sind).

Das automatische Löschen der Cookies beim Beenden des Browsers ist nicht notwendig, da - wie oben beschrieben - Session-Cookies immer beim (regulären) Beenden des Browsers gelöscht werden.

Viele Grüße,
Jörg

Das stimmt so nicht, zumindest nicht allgemein.

Das hängt sicherlich vom Browser und den Einstellungen ab.

Ich habe eben mal meinen Firefox normal beendet und neu gestartet.

Dabei werden natürlich alle meine Fenster und Tabs wieder hergestellt. 🙂

Danach war ich hier und auch im Online Banking weiter angemeldet.

Betreff: Sicherheitslücke?

CurtisNewton — Fri, 26 Jan 2024 12:46:25 GMT

Unabhängig von den Browsersettings sollte der Login in den Computer ja grundätzlich nur mit Passwort möglich sein.

Das kann man aus Bequemlichkeit natürlich auch abschalten, öffnet aber schon mal das erste Scheunentor da dann jeder der sich physikalisch Zugang zum Rechner verschaffen kann schonmal in allen persönlichen Dingen rumschnüffeln kann.

Betreff: Sicherheitslücke?

Joerg78 — Fri, 26 Jan 2024 12:55:04 GMT

@Silver_Wolf schrieb:
Das stimmt so nicht, zumindest nicht allgemein.
Das hängt sicherlich vom Browser und den Einstellungen ab.

Das ist (leider) richtig, Firefox widerspricht da der RFC und das Verhalten wird im Mozilla-Bugzilla sehr kontrovers diskutiert. Fakt ist: Ein Session-Cookie muss nach Beendigung der Session eliminiert werden . Dass die Session-Wiederherstellung von Firefox (meines Wissens Opt-In-Option?) leider auch Session-Cookies wiederherstellt, mag aus User-Sicht komfortabel sein, aus Sicherheitsaspekten ist das ziemlich fragwürdig. Etwas, was auch als "unresolved Question" auf deren Seite steht.

Aber danke für den Hinweis auf dieses Verhalten von Firefox.

Viele Grüße,

Jörg

Betreff: Sicherheitslücke?

Silver_Wolf — Fri, 26 Jan 2024 13:04:56 GMT

@Joerg78 schrieb:
@Silver_Wolf schrieb:
Das stimmt so nicht, zumindest nicht allgemein.
Das hängt sicherlich vom Browser und den Einstellungen ab.

Das ist (leider) richtig, Firefox widerspricht da der RFC und das Verhalten wird im Mozilla-Bugzilla sehr kontrovers diskutiert. Fakt ist: Ein Session-Cookie muss nach Beendigung der Session eliminiert werden . Dass die Session-Wiederherstellung von Firefox (meines Wissens Opt-In-Option?) leider auch Session-Cookies wiederherstellt, mag aus User-Sicht komfortabel sein, aus Sicherheitsaspekten ist das ziemlich fragwürdig. Etwas, was auch als "unresolved Question" auf deren Seite steht.

Aber danke für den Hinweis auf dieses Verhalten von Firefox.

Viele Grüße,
Jörg

Dieses Verhalten finde ich durchaus praktisch und an einem privaten Rechner sehe ich da auch keinerlei Sichrheitsproblem.

Im Büro oder einem anderen fremden Rechner ist das natürlich anders.

Da lässt man keine Session offen sondern meldet sich explizit ab.

Re: Sicherheitslücke?

Kio — Fri, 26 Jan 2024 13:27:53 GMT

@SMT_Chris

Ich persönlich habe da keine Bedenken, wie gesagt.

Aber es ist schon wieder komisch. Ich habe das vorhin dreimal probiert, also runter- und wieder raufgefahren und blieb angemeldet. Dann habe ich das mit einer anderen Seite mit Anmeldung versucht. Da war ich dann prompt abgemeldet, nachdem der Rechner aus gewesen ist. Technisch also möglich.
Aber, plötzlich war ich dann auch bei der comdirct abgemeldet. Und komischerweise muss ich mich jetzt sogar mit Tan anmelden. Wieder mehrmals probiert, Ergebnis bleibt gleich, rätselhaft, rätselhaft.

Langweilig wirds nicht. 😅

gruß kio

Re: Sicherheitslücke?

Silver_Wolf — Fri, 26 Jan 2024 13:45:55 GMT

@Kio schrieb:
@SMT_Chris
Ich persönlich habe da keine Bedenken, wie gesagt.
Aber es ist schon wieder komisch. Ich habe das vorhin dreimal probiert, also runter- und wieder raufgefahren und blieb angemeldet. Dann habe ich das mit einer anderen Seite mit Anmeldung versucht. Da war ich dann prompt abgemeldet, nachdem der Rechner aus gewesen ist. Technisch also möglich.
Aber, plötzlich war ich dann auch bei der comdirct abgemeldet. Und komischerweise muss ich mich jetzt sogar mit Tan anmelden. Wieder mehrmals probiert, Ergebnis bleibt gleich, rätselhaft, rätselhaft.

Langweilig wirds nicht. 😅

gruß kio

Wenn du alle Cookies löschst dann ist auch der für die 90 Tage ohne TAN weg.

Betreff: Sicherheitslücke?

ehemaliger Nutzer — Fri, 26 Jan 2024 14:30:30 GMT

Hat nicht ein Session-Coockie eine gewisse (bei banking hoffentlich) sehr kurze Gültigkeits-Laufzeit die dann vom Server immer regelmäßig während des eingeloggt sein erneuert wird? (nicht verwechseln mit der automatischem Ausloggen nach gewisser Zeit).

Bei einem hoch und runterfahren müsste dieses "Gültigkeits-Zeitfenster" des "dynamischen" Session-Coockies doch abgelaufen sein - selbst wenn es nicht bei Sessionende gelöscht wurde. Oder habe ich das komplett missverstanden.

Zur Klarstellung - dieses hier beschriebene Verhalten ist nicht das abspeichern von Konto und Passwort, sonder tatsächlich ein wenig besorgniserregend.

Re: Sicherheitslücke?

Kio — Fri, 26 Jan 2024 14:39:22 GMT

@Silver_Wolf schrieb:
Wenn du alle Cookies löschst dann ist auch der für die 90 Tage ohne TAN weg.

Ich habe aber nach den Tests heute morgen absichtlich keine Einstellungen geändert, damit die Voraussetzungen immer gleich sind. Deswegen ist es ja so dubios.

Betreff: Sicherheitslücke?

ehemaliger Nutzer — Fri, 26 Jan 2024 14:50:58 GMT

Bei mir passiert das nicht. Weder beim Neustart des Rechners noch beim Neustart von Firefox. Ich habe in FF "Cookies und Website-Daten beim Beenden von Firefox löschen" gesetzt und das funktioniert. Gleichzeitig habe ich eine Ausnahme für comdirect hinterlegt, was zur Folge hat, dass ich nicht bei jedem Login nach einer TAN gefragt werde. Die aktuellen Session-Cookies werden hingegen gelöscht - so wie es sein soll.