Vermutlich bin ich ja nicht der einzige, der das Forum über mehrere Rechner, Laptops, Telefone, etc. nutzt, daher dürfte ich auch nicht der einzige mit diesem Problem sein:
Wenn ich auf mehreren Geräten zeitgleich einlogge, dann auf einem das Passwort ändere, bleibe ich auf den anderen Geräten trotz des Logins mit altem Passwort weiterhin angemeldet.
Ziemlich blöde, wenn einem mal Laptop oder Smartphone abhanden kommen sollte.
Mittelbucher schrieb: Der Status "eingeloggt" wird über ein Cookie realisiert, das eben nicht das Passwort enthält. ...
Danke für die Erläuterung.
Wie lösen sowas denn andere Seiten? Speichern die wirklich das Passwort im Cookie ab?
Ich vermute mal, dass deren Cookies eine bestimmte "Haltbarkeit" haben. Da ist es aber immer schwer, einen vernünftigen Wert zu bestimmen, der zum einen nicht nervt, wenn man doch mal etwas länger offline ist und zum anderen eben etwas Sicherheit bietet.
Wenn man aber Wert auf hohe Sicherheit legt, sollte man die "eingeloggt bleiben" Funktionen mMn generell meiden.
Mittelbucher schrieb: ... Wenn man aber Wert auf hohe Sicherheit legt, sollte man die "eingeloggt bleiben" Funktionen mMn generell meiden.
Ich kenne es von anderen Anbietern so, dass ich mich mit einem Logout auf einem Gerät auch auf den anderen abmelden kann; gleiches gilt für eine Passwortänderung. Ist aus meiner Sicht ein guter Kompromiss.
Für diese Seite werde ich dann aber auf den Mobilgeräten jedenfalls mal die Eingeloggt-bleiben-Funktion meiden.
Könnte man gegebenenfalls umgehen, wenn man nach einem Passwortwechsel automatisch ausgeloggt und dazu aufgefordert wird, sich mit dem neuen Passwort direkt noch einmal einzuloggen. Also eine neue Session starten müsste, wobei das hier scheinbar überhaupt nicht sessionbasiert aufgebaut ist.
Mhh macht man das ganze nicht prinzippiell über Sessions und dementsprechend SessionID's? Ich halte es generell für ein doch sehr hohes Sicherheitsrisiko wenn man auf mehreren Geräten gleichzeitig eingeloggt ist. ISt doch sicherlich auch ne Haftungsfrage in Falle eines Schadens.
Wenn ich auf mehreren Geräten zeitgleich einlogge, dann auf einem das Passwort ändere, bleibe ich auf den anderen Geräten trotz des Logins mit altem Passwort weiterhin angemeldet.
Ziemlich blöde, wenn einem mal Laptop oder Smartphone abhanden kommen sollte.
Könnte man das bei Gelegenheit bitte abändern?
Danke.
Daher kann das von Dir beschriebene Szenario auftreten.
In dem Fall müsstest Du auf Laptop, Smartphone usw. dafür sorgen, dass die Cookies ( oder nur die für Eintracht.de ) nicht gespeichert bleiben.
Danke für die Erläuterung.
Wie lösen sowas denn andere Seiten? Speichern die wirklich das Passwort im Cookie ab?
Ich vermute mal, dass deren Cookies eine bestimmte "Haltbarkeit" haben. Da ist es aber immer schwer, einen vernünftigen Wert zu bestimmen, der zum einen nicht nervt, wenn man doch mal etwas länger offline ist und zum anderen eben etwas Sicherheit bietet.
Wenn man aber Wert auf hohe Sicherheit legt, sollte man die "eingeloggt bleiben" Funktionen mMn generell meiden.
Ich kenne es von anderen Anbietern so, dass ich mich mit einem Logout auf einem Gerät auch auf den anderen abmelden kann; gleiches gilt für eine Passwortänderung. Ist aus meiner Sicht ein guter Kompromiss.
Für diese Seite werde ich dann aber auf den Mobilgeräten jedenfalls mal die Eingeloggt-bleiben-Funktion meiden.
Danke für die Aufklärung.
Danke.
Gibt's dazu eigentlich was Neuigkeiten?
Du hast doch mich