Sicherheitsleck oder Userfehler?

    Hallo ich bin neu hier im Forum.
    Habe mich extra hier angemeldet, da mir bei der Neuinstallation eines PCs etwas aufgefallen ist.
    Ich habe einen Webspace bei Strato mit entsprechenden E-Mail-Accounts, welche ich ausschließlich online über den Strato-Communicator abrufe.
    Als Browser nutze ich Firefox.

    Folgender Hergang: Ich gebe just nach der Installation von Firefox die Adresse zum Communicator ein, danach kommt eine Seite auf der ich E-Mail-Account und Passwort zu meinem Stratoaccount eingeben muss.

    Nach der Eingabe fragt mich Firefox, ob er diese Daten speichern soll.
    Mein Haken kommt natürlich bei "nein, diesmal nicht".

    Nun starte ich meinen Rechner neu, jedoch ohne Firefox zu beenden.

    Als der Rechner wieder hochgelaufen ist und ich Firefox erneut starten will, werde ich gefragt, ob ich die alte Sitzung wiederherstellen will.
    Ich klicke auf ja und siehe da: "Ich bin in meinem Strato Account immer noch eingeloggt, ohne nach dem Passwort gefragt zu werden."

    Wo liegt das Problem? Bei Firefox, Strato oder mach ich nen Denkfehler?

    Ich wäre froh, wenn mir jemand weiter helfen könnte, da ich dies als schweres Sicherheitsproblem ansehe.

    Gruß

    Taranus

    Hallo un Willkommen im Forum.

    Wenn Du den Rechner neu startest, ohne Firefox vorher zu beenden, und wenn Du anschliessend die alte Sitzung wieder herstellst, ist es normal, dass Du noch eingeloggt bist. Schliesslich warst Du es ja, als Du Firefox abgewürgt hast.

    Wenn Du die Strato-Seite vor dem Abwürgen geschlossen hättest, wäre sie nicht wieder hergestellt worden und Du wärest auch nicht noch eingeloggt gewesen.

    Ich möchte Dich auch darauf hinweisen, dass es nicht gut ist, den Rechner herunter zu fahren, wenn noch Programme geöffnet sind. Mit dieser Methode kann es durchaus zu Datenverlusten kommen.

    Du bist nicht mehr eingeloggt. Bei der Sitzungswiederherstellung wird die Seite komplett auf die Platte geschrieben. Wenn du die Seite neulädst solltest dir dann auch Firefox anzeigen das du nicht eingeloggt bist.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Ich gebe zu, dieses Verhalten erwartet man vielleicht nicht, aber als Sicherheitsproblem würde ich es nicht ansehen. Wenn du den Session-Manager aktivierst, dann willst du doch, dass der Firefox bei erneutem Programmstart deine vorherige Sitzung wiederherstellt. Wenn das von Strato angelegte Cookie noch gültig ist, dann giltst du technisch betrachtet nach der Sitzungswiederherstellung weiterhin als eingelggt.

    Bedenke aber: Zum einen sind Firefox-Profile nutzergebunden. In einem Windows-System mit individuellen Logins kann niemand einfach deine Sitzung wiederherstellen. Andererseits sollte auf einem System, das von mehreren Nutzern mit gleichem Login genutzt wird, der Session-Manager ohnehin deaktiviert werden.

    Erst einmal vielen Dank für die schnelle Hilfe.

    Also ich bin wirklich noch eingeloggt, die Dateien wurden nicht nur so aus dem Cache geladen. Das habe ich daran gemerkt, dass ich innerhalb meines Accounts zwischen posteingang und -ausgang navigieren konnte, ohne dass eine Passwortabfrage verlangt wird.

    Das man alle Programme schliesst, bevor man einen Rechner herunterfährt ist mir schon klar, bin ja kein Neuling mehr :)

    Nehmen wir einfach mal an, dass ich mich bei einem Bekannten am Rechner befinde um meine E-mails abzurufen.
    (Das Gleiche könnte mir in einem Internetcafe passieren)

    Ich habe mich eingeloggt und plötzlich schmiert die Kiste ab, und ich fahre wieder nach Hause.

    Nun macht mein Bekannter seinen Rechner wieder an und kann munter meine E-Mails lesen...

    Ich weiss, dass man nicht alles abfangen kann, doch ich hätte eben schon eine erneute Passwortabfrage erwartet.

    Es müsste doch möglich sein dies abzufangen, in dem man beispielsweise beim Wiederherstellen der Sitzung abfrägt, ob eine Passworteingabe stattfinden muss oder in der nicht ordnungsgemäß beendeten Sitzung stattgefunden hat. (Passwörter werden ja schließlich nicht als Klartext abgelegt)

    Was meint Ihr?

    Gruß

    Taranus

    Ah, mir ist grad eingefallen wieso das bei mir ist. Ich nutze Privoxy, damit ist man in der Lage den Traffic zu filtern, z.b. nach Werbung und zu modifizieren. Ich modifiziere z.B. den Referer und Cookies. Das verhindert anscheinend das ich nach dem beenden des Browsers noch online bin.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Zitat von taranus

    Also ich bin wirklich noch eingeloggt, die Dateien wurden nicht nur so aus dem Cache geladen. Das habe ich daran gemerkt, dass ich innerhalb meines Accounts zwischen posteingang und -ausgang navigieren konnte, ohne dass eine Passwortabfrage verlangt wird.

    Kann bei Seiten passieren, bei denen man nicht nach einer gewissen Zeit (z.B. 10min inaktivität) bzw. neuer IP-Adresse automatisch ausgeloggt wird.
    Dies würde ich aber dann eher der Webseite ankreiden, als Firefox.

    Zitat

    Es müsste doch möglich sein dies abzufangen, in dem man beispielsweise beim Wiederherstellen der Sitzung abfrägt, ob eine Passworteingabe stattfinden muss oder in der nicht ordnungsgemäß beendeten Sitzung stattgefunden hat. (Passwörter werden ja schließlich nicht als Klartext abgelegt)

    Nein ist (leider) nicht möglich;
    wie soll Firefox für Logins verantwortliche Cookies und andere Cookies unterscheiden?
    Das ist nahezu unmöglich...

    taranus erfragte Folgendes

    Zitat

    Es müsste doch möglich sein, diese [vorhergehende Session] abzufangen, in dem man beispielsweise beim Wiederherstellen der Sitzung abfragt, ob eine Passworteingabe stattfinden muss oder in der nicht ordnungsgemäß beendeten Sitzung stattgefunden hat.

    Verwechsele dabei nicht "Zugriff" (Firefox) und "Quelle" (Strato). Ich kann Dein Problem zwar von hier aus nicht genau nachvollziehen - jedoch müssten serverseitig (also seitens Strato) allg. Sicherheitsvorkehrungen getroffen worden sein, und zwar in Bezug auf:


    a.TimeOut.(Server)

    b.Session-Ending.(Server)


    Der FF dürfte selbst nach einem Server-TimeOut aus dem Cache definitiv keine "alten" (vertrauenswürdigen) lokalen Sessions des Strato-Servers "wiederbeleben" können, was entgegen jedwedigen Missbrauchs auch Sinn machen würde und hier im Zuge dieses Threads bereits weiter oben auch schon dargestellt wurde.

    Der Firefox, (wie jeder andere Browser auch), stellt - meiner Ansicht nach - bloss eine Schnittstelle zu einem wie auch immer gearteten (vertrauenswürdigen) Server-Content (Inhalt) her, die er (der Firefox) somit in Folge allenfalls über aktuelle Zertifikate bezüglich der korrekten Webseite nur oberflächig zu überprüfen vermag. Deine Passwort-Verifikation, bezüglich solcher vertrauenswürdigen Webseiten - wie auch das SessionEnding - wird und kann dagegen nur serverseitig gesteuert werden, bzw. serverseitig "ablaufen".


    taranus stellte darüberhinaus noch Folgendes dar

    Zitat

    (Passwörter werden ja schließlich nicht als Klartext abgelegt)

    Leider werden sie das doch - sie liegen bis zur nächsten Sitzung (also bis nach erneutem Kalt-Start des Systems) ungeschützt in Deinem RAM und könnten von dort aus auch durch andere Programme eingelesen, bzw. ausgelesen werden.


    Oliver


    http://en.wikipedia.org/wiki/RADIUS
    http://de.wikipedia.org/wiki/Session-ID

    Dann liegt das Problem, wenn man es nun überhaupt noch so nennen kann am TimeOut oder Session-Ending von Strato, das leuchtet mir ein.
    Strato müsste also merken, wann ich mit dem Browser nicht mehr auf der Seite bin.
    Der Browser ist ja quasi nur das Programm, welches mir die Website anzeigt.
    Doch wie wäre dies zu bewerkstelligen? Ich glaube das würde auch jetzt zu weit führen.
    Ich sehe nun jedenfalls klarer und bedanke mich mal vorerst bei euch.

    Gruß
    Taranus