Willkommen im User-Forum von mailbox.org
 

Abgelaufene Sitzung besser absichern

3347452 hat dies geteilt, 3 Jahren her
vorgeschlagen

Wenn die Sitzung abgelaufen ist, dann wird die Weboberfläche gesperrt und eine Passworteingabe zur erneuten Authentifizierung gezeigt.

Das ist sinnvoll, wenn man den PC länger unbeaufsichtigt laufen lässt und den Tab mit mailbox.org offen hat. (Natürlich sollte man dann den Bildschirm sperren oder sich direkt ausloggen.)

Was mich daran ein wenig stört ist, dass man hinter der Passwort-Eingabe den kompletten Inhalt der Weboberfläche noch sehen kann. Man kann also zumindest die derzeit geöffnete Mail lesen, die Betreffs anderer Mails im aktuellen Verzeichnis und die Namen von Verzeichnissen – genügend Daten um weitere Rückschlüsse für Social Engineering zu erlauben.


Üblicherweise wird der Hintergrund dieser Passworteingabe einfach geschwärzt, so dass man die Webseite nicht mehr sehen kann. Klar, dann könnte man noch den Quelltext inspizieren und da vermutlich Dinge raus kratzen.


Ideal wäre meiner Meinung nach eine Weiterleitung. Sitzung abgelaufen, Benutzer muss sich neu authentifizieren -> Seite neu laden und den normalen Login zeigen.

Kommentare (1)

Foto
1

Eine Art Milchglaseffekt oder ein Schwärzen der Seite würde ich in diesem Fall auch für sinnvoll halten.

Hier geht es weniger um "Hacker" als um "zufällig neugierige Blicke" von Kollegen oder Bekannten. Wenn man an einem fremden Rechner Sitzt achtet man für gewöhnlich darauf sich überall wieder auszuloggen.