Frage zu GMAIL-Sicherheit

[Don Pasquale]

Hat von Euch jemand mal Firefox genutzt,
einen neuen TAB geöffnet und sein GMail Account geladen.
Danach das TAB wieder geschlossen durch Klick auf das X.
Danach ein neues TAB geöffnet und www.gmail.com eingegeben?
Das geöffnete GMAIL Account ist wieder da.

Ist das ein Feature?

[m3]

Wo ist das Problem? Solange Du Dich an dem Rechner bei GMail nicht ausgelogged (<> Tab/Fenster schließen) hast, bist Du automatisch wieder in GMail drinnen. Egal, ob Du GMail im gleichen Fenster, einem neuen Tab oder einem neuen Browser-Fenster aufmachts (Cookies).

[Don Pasquale]

Ich hab das mal mit WEB.de verglichen, da ist das nicht so.
Und wo das Problem liegt, muß ich ja wohl keinem erklären,
der einmal das ausloggen vergessen hat.

[m3]

Bei Web.de ist das genauso, ich hab mir grad einen Account angelegt und ausprobiert.

Nachdem ich mich angemeldet habe, bin ich auf eine Seite mit der URL
https://freemailng2701.web.de/online/frame.htm?si=su7i.1hHsgj.XXXXXX.XX**
gekommen, in der ich mein Webmail hatte.

Tab zu, neuen Tab auf, URL aus der Zwischenablage oder der Browser-Historie eingefüllt und ich war ohne Anmeldung im Webmail wieder drinnen.

Wenn man sich nicht manuell abmeldet ...

[Don Pasquale]

Das IST es ja was ich meine, ich habe eben nicht die
Session-ID mitkopiert, sondern wirklich nur
"www.GMAIL.com" eingegeben und bin prompt
im E-Mail Client.

[WernerMo]

das ist wohl der "redirect" aufgrund des cookies - oder?

Erst wenn der Browser komplett geschlossen wird und die cookies ungültig klappt das nicht mehr.
Darum beim Schließen des Firefox immer Cookies mit löschen lassen.

[Don Pasquale]

Ich denke, ich werde mir kein GMail Account anschaffen.

[flaite]

Skandal 
Geht mal in Firefox auf Extras/Einstellungen/Datenschutz/Cookies anzeigen.

[Don Pasquale]

Ach Marinero, ein ganzer Beitrag in Deutsch und sogar lesbar.
Wie überraschend. Leider wieder den Inhalt nicht erfasst.

Mir ist schon klar, dass es an den Cookies liegt und wie man diese löscht,
dafür also keinen Dank.

Ich finde es dennoch bedenklich, dass ich in einem neuen Browser nur
den TOP-LEVEL-DOMAIN eingeben musste, um sofort Zugang zu den Mails
zu haben. Das ist von einer anderen Qualität als die Session-ID
zu kopieren.

[flaite]

Find ich hab sprachlich in letzter Zeit ein wenig abgerüstet.

Ich vermute username/pwd oder eine mit meinem Konto verbundene id ist verschlüsselt in einem der Cookies Texte. In Internet Cafes würde ich natürlich immer den Sign-Out button verwenden. Und dann geht das irgendwie über redirection (HTTP return codee 302, spelling, Martin weiss das sicher, konnte btw. aufgund einer persönlichen Sache leider nicht nach Kulmbach kommen).

[klugscheisserModeOn]* Ich würd deshalb aber nicht Google als grundsätzlich unsicher bezeichnen. Kommt eben drauf an, wie mans nutzt. Für meine Zwecke ist es sicher [/klugscheisserModeOff]

* Don fragt sich jetzt vermutlich: War der jemals off 

[Don Pasquale]

Sprachlich abgerüstet: Stimmt.

Wir sind ja glaube ich, bei in der QS von Finanzapplikationen tätig, oder täusche ich mich da?
Wenn ich an einem Rechner sitze, den noch jemand anderes nutzt, versuche ich
natürlich sämtliche Türen hinter mir zu verschliessen. Aber manchmal muss es eben
schnell gehen und da klickt der Ein oder Andere halt mal nur auf SchliessMich-Kreuzchen.
Ich würde das unserer Applikation nicht durchgehen lassen, Du?

[pd]

Die Sache ist ja auch die, dass die Forumsnutzer hier zu den Leuten zählen, die einen Computer zumindest einigermaßen bedienen können. Webmailer nutzt aber auch jeder nicht so bedarfte, der einmal gelernt hat, mit dem [X] beendet man alles... In diesem Sinne wäre es sicherlich förderlich entsprechend zu programmieren.

Gruß, Patrick

[animate]

Das läuft nicht nur bei GMAIL so. Auch z. B. die Authentifizierung am Tomcat und IIS wird sich gemerkt (bei den Anwendungen, die ich nutze), wenn man nur das Tab schließt.
Am besten Browser schließen (also nicht nur das Tab) und gut is.

[flaite]

Wir sind ja glaube ich, bei in der QS von Finanzapplikationen tätig, oder täusche ich mich da?

Nicht ganz. Ich bin Programmierer und einige der Anwendungen gehören in den Bereich Finanzen und Versicherungen (eher letzteres ).

Ich würde das unserer Applikation nicht durchgehen lassen, Du?

Es kommt aus meiner Sicht darauf an wie hoch die allgemeinen Ansprüche an die Sicherheit sind. Imho übertragen alle Webmailer die Daten per http und nicht https. Ein Webmailer, der allemöglichen Sicherheitsfeatures besitzt, dann aber doch eine offen läßt, ist vielleicht unsicherer als einer, der aus usability Gründen ein paar weitere Türen offen läßt. Einfach weil der erstere vielleicht etwas vorgaukelt.
Im Laufe der letzten 7,5 Jahre sind an mich immer wieder Anforderungen herangetragen worden, bei denen ich angemerkt habe, dass das sicherheitsmässig bedenklich bis schwer bedenklich sind. Nicht alle Organisationen haben eine solche QS. Leider. Manche dieser Anforderungen wurden umgesetzt. Der krasseste Fall war eine IHK, die gerade dabei war, mir als "realistische Testdaten" die Liste der Leute in NRW zur Verfügung stellen, die wegen extremer Verschuldung auf der ganz schwarzen Liste standen. Das wurde aber gestoppt. Von mir übrigens

Seh aber Sicherheit als Fall-zu-Fall Geschichte. Webmailer haben eben aus meiner Sicht nicht so hohe Anforderungen an Sicherheit. Wenn sich diese Einschätzung in der Bevölkerung verbreitet, ist das vielleicht diese beste Sicherheit für diese Produktgruppe.

In vielen Organisationen hab ich beobachtet, dass sich mit ungenügender QS leicht eine Haltung einschleicht: "Theoretisch sind wir für 120% Sicherheit. Die Praxis sieht aber ein bischen anders aus". Das find ich wesentlich problematischer als eine Sichtweise nach der Fall-zu-Fall entschieden wird was geht und was nicht geht.

@Thomas: Mit httpSession.invalidate() an der richtigen Stelle kann man ein echtes log-out durchführen.

[animate]

@Thomas: Mit httpSession.invalidate() an der richtigen Stelle kann man ein echtes log-out durchführen.

Was wäre denn eine richtige Stelle dafür? Du bekommst doch nicht mit, wenn der Benutzer sein Tab schließt.

[flaite]

Ein Log-out button  , der natürlich in der Hektik auch vergessen werden kann.
Die Annahme, dass der User nicht vergisst, diesen Button zu klicken, würde QS Revisionen in aller Regel passieren.
Eine Alternative bestände darin, dass die Lebensdauer von inaktiven User-Sessions auf extrem kurze Zeiträume gesetzt wird. Aber das wird wg. usability nicht akzeptiert und ist auch nur ein Kompromiss.

Unter der Annahme eines unachtsamen Users helfen vielleicht noch leicht perverse Ideen wie ein GPS System, dass die Position eines Anwenders nachfragt und die Session schliesst, wenn er sich vom Arbeitsplatz entfernt. Aber das geht arbeitsrechtlich gar nicht (zum Glück).

Sicherheit ist eben wichtig und relativ. Ein Spiel mit Wahrscheinlichkeiten. Geht um die Minimierung von Risiken. Nicht um perfekte Lösungen.

[animate]

Ach so meintest du das. Ja, das kann man machen.
Ich wollte nur darauf hinweisen, dass nicht nur Gmail offen für jeden ist, der in der gleichen Browserinstanz arbeitet, in der sich der berechtigte Benutzer angemeldet hat. Was es natürlich nicht besser macht.

[flaite]

Ursprünglich hab ich das gar nicht so gemeint, aber nach deinem Posting wurde es offensichtlich.
el cubano comprende el mundo hablando
Der Kubaner versteht die Welt beim reden (über sie). (kubanisches Sprichwort)

Oft nervt das Leute. (Schildkröte*-Effekt: Lass mich in Ruhe, ich hab Feierabend).
Besonders Leute, die sich ausgeschlossen von Fachdiskussionen fühlen. Ist aber ein effektiver Weg des Verstehens. Ein Satz wie "IT-Security ist immer relativ" ist leichter dahergesagt als wirklich anhand von Beispielen begriffen.


* der Kumpel von Ditsche.