Dunkle Grüße,

in Sachen Cybersecurity muss man gerade in einer digitalisierten Welt recht fit sein und gerade was seine Online Accounts angeht, besonders vorsichtig sein. Schließlich möchte man nach Möglichkeit verhindern, dass Fremde Zugriff zu diesen haben.

Dazu gehören ein paar Grundsätzliche Dinge, aber ich werde heute nur auf ein Thema eingehen.

Wir haben hier in der WF auch die Funktion "eingeloggt bleiben". Wo man sein Häckchen setzen kann. Dem System wird damit gesagt, der User soll vom automatischen Logout ausgenommen werden, welches passiert, wenn die Sitzung ausgelaufen ist.

Heißt zum Beispiel, man hat die Seite in einem Tab offen, aber man ist auf der Seite selbst nicht mehr aktiv. Oder man schließt das Tab einfach, obwohl man sich noch nicht ausgeloggt hat.

Das System erkennt diese Inaktivität und nach 25 Minuten ist die Nutzer-Session abgelaufen und man wird automatisch ausgeloggt. Nun könnte man meinen, dass das eine bequeme Regelung ist, aber obacht hier liegt das Potential für Angriffe.

Der sogenannte Session Cookie kann recht simple ausgelesen werden und wenn ein Angreifer diesen hat und die automatische Abmeldung noch nicht erfolgt ist, reicht es, mit diesem Session Cookie auf die Seite zu gehen, diesen zu verwenden und so in euern Account zu kommen. OHNE Passwort, OHNE irgendeine Authentifizierung, denn alle notwendigen Daten sind in diesem Session Cookie.

Lange Rede, kurzer Sinn. Wie schützt du dich vor diesen Angriff?

Sobald du eine Seite verlässt

Logge dich IMMER aus. Klicke IMMER auf Abmelden, Auslogen, Log Out ... Denn damit erlischt der Session Cookie, also verliert seine Gültigkeit. Dann kan ihn auch kein Angreifer mehr nutzen, selbst wenn er in seinen Besitz kommt.