comdirect

Kio · ‎26.01.2024

Ich wurde gerade für den Abschluss eines Updates aufgefordert den Rechner neu zu starten. Da ich ihn nicht direkt neu gestartet habe, sondern etwa zwei Minuten zwischen Herunterfahren und Neustarten lag, ist mir etwas aufgefallen. Ich war zum Zeitpunkt des Herunterfahrens im Konto angemeldet und war nach dem Neustart immer noch angemeldet. Das dürfte doch eigentlich nicht sein, oder? Da mein Computer ca. 2min aus war, hätte er doch bei der comdirect ausgeloggt werden müssen. Wie kann er dann immer noch angemeldet sein? Jeder, der innerhalb der automatischen Abmeldezeit den Computer hochfährt, hat demnach Zugriff auf die Kontodaten.

Gruß kio

"Der einzige Unterschied zwischen mir und einem Verrückten ist, dass der Verrückte denkt, er sei gesund." (Salvator Dali)

Silver_Wolf · ‎26.01.2024

Das ist normal.

Wenn du das nicht willst musst du dich vorher abmelden oder im Browser einstellen daß er beim Beenden die Cookies löscht.

Oder ein privates Fenster benutzen wo das automatisch passiert.

Kio · ‎26.01.2024

Habe ich an der Stelle eine Wisenslücke? Ich war mir sicher, dass ich das schon mal anders gesehen habe. Aber womöglich hatte ich da andere Cookieinstellungen. Mir persönlich ist das egal, weil niemand außer mir Zugriff hat. Aber schön finde ich das nicht. Jetzt bin ich nicht so ein Technikfreak, aber eine automatische Abmeldung wenn der Rechner aus ist, lässt sich bestimmt einfach implementieren.

"Der einzige Unterschied zwischen mir und einem Verrückten ist, dass der Verrückte denkt, er sei gesund." (Salvator Dali)

Joerg78 · ‎26.01.2024

Beim Login in den persönlichen Bereich werden Session-Cookies gesetzt. Wird der Browser beendet, dann löscht er diese Session-Cookies; startest du ihn neu, bist du automatisch aus dem persönlichen Bereich ausgeloggt (da die entsprechenden Cookies nicht mehr vorhanden sind).

Beim erzwungenen Neustart des Rechners kann es sein, dass der Browser durch das Betriebssystem hart abgewürgt wird, so dass die Session-Cookies weiterhin existieren (unter Windows oft nachvollziehbar, wenn der Browser-Task durch den Task-Manager hart gekillt wird), da der Browser keine Gelegenheit hatte, diese zu löschen - und sofern seitens des Servers kein Timeout getriggert wurde, bist du dann nach dem Neustart noch eingeloggt.

Das automatische Löschen der Cookies beim Beenden des Browsers ist nicht notwendig, da - wie oben beschrieben - Session-Cookies immer beim (regulären) Beenden des Browsers gelöscht werden.

Viele Grüße,

Jörg

SMT_Chris · ‎26.01.2024

Hallo @Kio,

wir können dich beruhigen. Es ist keine Sicherheitslücke. Es ist eine Einstellung in deinem Browser, so wie @Silver_Wolf es beschrieben hat. Bei dieser Einstellung werden einem die Tabs angezeigt, die man beim Schließen des Browsers geöffnet hatte.

Du findest die Einstellung beim

Chrome unter "Einstellungen" > "Beim Start". Dort einfach "Neuer Tab" Seite öffnen anwählen.
Firefox unter "Einstellungen" > "Allgemein" >"Start" > Dort das Häkchen bei "vorherige Fenster und Tabs öffnen" entfernen.

Viele Grüße

Christoph

Klick-Empfehlung:
Tipps & Tricks | Unsere Community-Regeln |
Wertpapiere im Editor suchen und verknüpfen | Deine Idee ist gefragt!

Silver_Wolf · ‎26.01.2024

@Joerg78 schrieb:
Beim Login in den persönlichen Bereich werden Session-Cookies gesetzt. Wird der Browser beendet, dann löscht er diese Session-Cookies; startest du ihn neu, bist du automatisch aus dem persönlichen Bereich ausgeloggt (da die entsprechenden Cookies nicht mehr vorhanden sind).

Das automatische Löschen der Cookies beim Beenden des Browsers ist nicht notwendig, da - wie oben beschrieben - Session-Cookies immer beim (regulären) Beenden des Browsers gelöscht werden.

Viele Grüße,
Jörg

Das stimmt so nicht, zumindest nicht allgemein.

Das hängt sicherlich vom Browser und den Einstellungen ab.

Ich habe eben mal meinen Firefox normal beendet und neu gestartet.

Dabei werden natürlich alle meine Fenster und Tabs wieder hergestellt. 🙂

Danach war ich hier und auch im Online Banking weiter angemeldet.

CurtisNewton · ‎26.01.2024

Unabhängig von den Browsersettings sollte der Login in den Computer ja grundätzlich nur mit Passwort möglich sein.

Das kann man aus Bequemlichkeit natürlich auch abschalten, öffnet aber schon mal das erste Scheunentor da dann jeder der sich physikalisch Zugang zum Rechner verschaffen kann schonmal in allen persönlichen Dingen rumschnüffeln kann.

--------------------
"Die Zukunft hat viele Namen: Für Schwache ist sie das Unerreichbare, für die Furchtsamen das Unbekannte, für die Mutigen die Chance." - Victor Hugo

Joerg78 · ‎26.01.2024

@Silver_Wolf schrieb:
Das stimmt so nicht, zumindest nicht allgemein.
Das hängt sicherlich vom Browser und den Einstellungen ab.

Das ist (leider) richtig, Firefox widerspricht da der RFC und das Verhalten wird im Mozilla-Bugzilla sehr kontrovers diskutiert. Fakt ist: Ein Session-Cookie muss nach Beendigung der Session eliminiert werden . Dass die Session-Wiederherstellung von Firefox (meines Wissens Opt-In-Option?) leider auch Session-Cookies wiederherstellt, mag aus User-Sicht komfortabel sein, aus Sicherheitsaspekten ist das ziemlich fragwürdig. Etwas, was auch als "unresolved Question" auf deren Seite steht.

Aber danke für den Hinweis auf dieses Verhalten von Firefox.

Viele Grüße,

Jörg

Silver_Wolf · ‎26.01.2024

@Joerg78 schrieb:
@Silver_Wolf schrieb:
Das stimmt so nicht, zumindest nicht allgemein.
Das hängt sicherlich vom Browser und den Einstellungen ab.

Das ist (leider) richtig, Firefox widerspricht da der RFC und das Verhalten wird im Mozilla-Bugzilla sehr kontrovers diskutiert. Fakt ist: Ein Session-Cookie muss nach Beendigung der Session eliminiert werden . Dass die Session-Wiederherstellung von Firefox (meines Wissens Opt-In-Option?) leider auch Session-Cookies wiederherstellt, mag aus User-Sicht komfortabel sein, aus Sicherheitsaspekten ist das ziemlich fragwürdig. Etwas, was auch als "unresolved Question" auf deren Seite steht.

Aber danke für den Hinweis auf dieses Verhalten von Firefox.

Viele Grüße,
Jörg

Dieses Verhalten finde ich durchaus praktisch und an einem privaten Rechner sehe ich da auch keinerlei Sichrheitsproblem.

Im Büro oder einem anderen fremden Rechner ist das natürlich anders.

Da lässt man keine Session offen sondern meldet sich explizit ab.

Kio · ‎26.01.2024

@SMT_Chris

Ich persönlich habe da keine Bedenken, wie gesagt.

Aber es ist schon wieder komisch. Ich habe das vorhin dreimal probiert, also runter- und wieder raufgefahren und blieb angemeldet. Dann habe ich das mit einer anderen Seite mit Anmeldung versucht. Da war ich dann prompt abgemeldet, nachdem der Rechner aus gewesen ist. Technisch also möglich.
Aber, plötzlich war ich dann auch bei der comdirct abgemeldet. Und komischerweise muss ich mich jetzt sogar mit Tan anmelden. Wieder mehrmals probiert, Ergebnis bleibt gleich, rätselhaft, rätselhaft.

Langweilig wirds nicht. 😅

gruß kio

"Der einzige Unterschied zwischen mir und einem Verrückten ist, dass der Verrückte denkt, er sei gesund." (Salvator Dali)

comdirect

Sicherheitslücke?