Sonstiges > Offtopic

Frage zu GMAIL-Sicherheit

<< < (3/4) > >>

Don Pasquale:
Sprachlich abgerüstet: Stimmt.

Wir sind ja glaube ich, bei in der QS von Finanzapplikationen tätig, oder täusche ich mich da?
Wenn ich an einem Rechner sitze, den noch jemand anderes nutzt, versuche ich
natürlich sämtliche Türen hinter mir zu verschliessen. Aber manchmal muss es eben
schnell gehen und da klickt der Ein oder Andere halt mal nur auf SchliessMich-Kreuzchen.
Ich würde das unserer Applikation nicht durchgehen lassen, Du?

pd:
Die Sache ist ja auch die, dass die Forumsnutzer hier zu den Leuten zählen, die einen Computer zumindest einigermaßen bedienen können. Webmailer nutzt aber auch jeder nicht so bedarfte, der einmal gelernt hat, mit dem [X] beendet man alles... In diesem Sinne wäre es sicherlich förderlich entsprechend zu programmieren.

Gruß, Patrick

animate:
Das läuft nicht nur bei GMAIL so. Auch z. B. die Authentifizierung am Tomcat und IIS wird sich gemerkt (bei den Anwendungen, die ich nutze), wenn man nur das Tab schließt.
Am besten Browser schließen (also nicht nur das Tab) und gut is.

flaite:

--- Zitat von: Don Pasquale am 30.04.07 - 11:31:16 ---Wir sind ja glaube ich, bei in der QS von Finanzapplikationen tätig, oder täusche ich mich da?

--- Ende Zitat ---
Nicht ganz. Ich bin Programmierer und einige der Anwendungen gehören in den Bereich Finanzen und Versicherungen (eher letzteres ).

--- Zitat ---Ich würde das unserer Applikation nicht durchgehen lassen, Du?

--- Ende Zitat ---
Es kommt aus meiner Sicht darauf an wie hoch die allgemeinen Ansprüche an die Sicherheit sind. Imho übertragen alle Webmailer die Daten per http und nicht https. Ein Webmailer, der allemöglichen Sicherheitsfeatures besitzt, dann aber doch eine offen läßt, ist vielleicht unsicherer als einer, der aus usability Gründen ein paar weitere Türen offen läßt. Einfach weil der erstere vielleicht etwas vorgaukelt.
Im Laufe der letzten 7,5 Jahre sind an mich immer wieder Anforderungen herangetragen worden, bei denen ich angemerkt habe, dass das sicherheitsmässig bedenklich bis schwer bedenklich sind. Nicht alle Organisationen haben eine solche QS. Leider. Manche dieser Anforderungen wurden umgesetzt. Der krasseste Fall war eine IHK, die gerade dabei war, mir als "realistische Testdaten" die Liste der Leute in NRW zur Verfügung stellen, die wegen extremer Verschuldung auf der ganz schwarzen Liste standen. Das wurde aber gestoppt. Von mir übrigens ;D

Seh aber Sicherheit als Fall-zu-Fall Geschichte. Webmailer haben eben aus meiner Sicht nicht so hohe Anforderungen an Sicherheit. Wenn sich diese Einschätzung in der Bevölkerung verbreitet, ist das vielleicht diese beste Sicherheit für diese Produktgruppe.

In vielen Organisationen hab ich beobachtet, dass sich mit ungenügender QS leicht eine Haltung einschleicht: "Theoretisch sind wir für 120% Sicherheit. Die Praxis sieht aber ein bischen anders aus". Das find ich wesentlich problematischer als eine Sichtweise nach der Fall-zu-Fall entschieden wird was geht und was nicht geht.

@Thomas: Mit httpSession.invalidate() an der richtigen Stelle kann man ein echtes log-out durchführen.

animate:

--- Zitat von: Axel Janssen am 30.04.07 - 12:49:35 ---@Thomas: Mit httpSession.invalidate() an der richtigen Stelle kann man ein echtes log-out durchführen.

--- Ende Zitat ---
Was wäre denn eine richtige Stelle dafür? Du bekommst doch nicht mit, wenn der Benutzer sein Tab schließt.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete