Thread Sollte man Sessions nach Passwortwechsel invalide machen?
(10 answers)
Opened by GwenDragon at 2021-12-21 11:18
Und wenn der Verdacht falsch war und der Hacker statt des Post-Its deine aktuelle Session gekapert hat?
Ich würde zumindest auch die aktuelle Session durch eine neue ersetzen und an den ändernden Clienten aushändigen - dazu brauchts ja keine Nutzerinteraktion, denn der Client hat ja gerade das Passwort geändert und sich damit authentifiziert. Anlehnend an: https://security.stackexchange.com/questions/10512... (insbes. OWASP) Edit: Auch die Idee, dass der Browser/Nutzer direkt seinen Password-Cache für gespeicherte Paswörter erneuern kann, wenn man den Benutzer auf die Loginseite leitet finde ich nicht verkehrt - ist aber eher eine useability/geschmacksfrage. Last edited: 2021-12-22 00:47:10 +0100 (CET) Pörl.
|