Willkommen im User-Forum von mailbox.org
 

Sicherheitsrisiko via Google Chrome auf office.mailbox.org zugreifen ohne extra Anmeldung

Ulrich hat dies geteilt, 13 Monaten her
vorgeschlagen

Hallo,


ich wollte mal fragen ob diese Thematik bekannt ist.

Ich nutzt den aktuellen Chrome Browser ( 69.0.3497.81 (Offizieller Build) (64-Bit) ) und kann nach dem ich mich einmal in Office eingeloggt (ohne mein Passwort zu speichern). Nun immer in Office ich muss lediglich diese Url: https://office.mailbox.org/appsuite/#!!&app=io.ox/mail aufrufen.

Auch wenn ich den Browser schließe und nächsten Tag wieder öffne geht das!!!


Kann es sein das der Cookie im Browser erhalten bleibt und auch Server-seitig nicht abläuft?

Bitte mal überprüfen.


Edit: Heute morgen ging es noch (ohne Anmeldung Emails prüfen) und als ich es gerade nochmal testen wollte musste ich mich wieder anmelden. Dennoch scheint serverseitig das Cookie zulange gültig zu sein!


VG Ulrich

Kommentare (8)

Foto
1

Geht bei mir bei Firefox nicht

Foto
1

Ja sicherlich ist das nur ein Cookie-Thema aber mir gehts darum das weniger erfahrene Nutzer sich nicht immer des Risikos bewusst sind, wenn sie nur den Chrome-Browser schließen (ohne explizites Abmelden), dass man dann so gar eine Nacht später doch noch ans Email-Postfach rankommt.


Ich habe in meinen Mail-Office-Einstellungen ein 10min Timeout eingestellt. Also warum bleibt das Cookie über diese Zeit hinaus noch aktiv?! Könnte doch auch ohne Browser auf dem Server gelöscht werden! oder nicht?

Foto
1

Dies ist ein Feature von Google Chrome, der standardmäßig nach den schließen weiterläuft (kann man in den Einstellungen deaktivieren).


Serverseitig kann dies sicher vom Provider verändert werden, dazu müsste nach meinem Verständnis das "OX Autologin" deaktiviert werden, was sicherlich sinnvoll wäre:


https://oxpedia.org/wiki/index.php?title=OXSessionAutologin

Foto
1

Wenn mich nicht alles täuscht kann ich mich auch in Firefox einloggen, dann den Rechner für ein paar Stunden in den Ruhezustand packen, und dann bei mailbox.org weiterarbeiten, ohne mich neu einloggen zu müssen. Das (in meinem Fall 10 Minuten) Timeout scheint nur zu gelten, wenn das Browser "läuft".

Foto
1

Also wenn ich das richtig verstanden habe wäre es Serverseitig lediglich eine Konfigurationsänderung, damit "nicht explizit ausgeloggte" Konten wieder sicherer werden.

Wäre doch mal was, was man machen könnte. oder? Kann man das irgendwo abstimmen lassen?

Was sagen die Admins dazu? bw. Ist dieses Problem den Admins bekannt, und wenn ja warum wurde noch nichts unternommen?


Diese "Feature" ist ja ein Sicherheitsrisiko und Sicherheit sollte bei mailbox.org groß geschrieben sein.

Foto
1

Also besser so?


Diese "Feature" ist ja ein Sicherheitsrisiko und SICHERHEIT sollte bei mailbox.org groß geschrieben sein.


Wie ist denn in den Grundeinstellungen in deinem Account die Abmeldezeit eingestellt? Bei mir scheint das zu funktionieren, so wie es eingestellt ist. Chrome ist für mch aber auch noch nie ein Browser irgendeiner Wahl gewesen. In Firefox und Opera scheint es korrekt zu gehen. Wie habt ihr denn das Cookie-Handling auf euren Browsern eingestellt?

Foto
1

Das ganze scheint ein "Feature" von Chrome zu sein, wenn ich das richtig verstehe.


Man sollte Google nicht auch noch durch die Nutzung von Chrome Daten in die Hände geben. Firefox und Opera sind super Alternativen.


https://www.heise.de/newsticker/meldung/Chrome-69-loggt-Nutzer-automatisch-ein-4171410.html