Opened by GwenDragon at 2021-12-21 11:18
User since
2015-01-07
569 Artikel
BenutzerIn
2015-01-07
569 Artikel
BenutzerIn
Die Session, in der das Passwort geändert wurde, braucht man meiner Ansicht nach nicht ungültig zu machen.
Andere Sessions des gleichen Benutzers dagegen unbedingt: Wenn Du den Verdacht hast, dass jemand Dein Passwort-Post-it gefunden hat, dann willst Du sofort Dein Passwort ändern. Dabei sollten aber andere Sessions des gleichen Benutzers sofort ungültig werden: Sonst werkelt der Hacker munter weiter, bis ihn mal ein Cookie-Timeout ereilt.
Andere Sessions des gleichen Benutzers dagegen unbedingt: Wenn Du den Verdacht hast, dass jemand Dein Passwort-Post-it gefunden hat, dann willst Du sofort Dein Passwort ändern. Dabei sollten aber andere Sessions des gleichen Benutzers sofort ungültig werden: Sonst werkelt der Hacker munter weiter, bis ihn mal ein Cookie-Timeout ereilt.
View full thread Sollte man Sessions nach Passwortwechsel invalide machen?