Autor Thema: Frage zu GMAIL-Sicherheit  (Gelesen 3695 mal)

Offline Don Pasquale

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.390
  • Geschlecht: Männlich
  • Don Pasquale
    • Auf Verlorenem Posten
Frage zu GMAIL-Sicherheit
« am: 27.04.07 - 16:59:34 »

Hat von Euch jemand mal Firefox genutzt,
einen neuen TAB geöffnet und sein GMail Account geladen.
Danach das TAB wieder geschlossen durch Klick auf das X.
Danach ein neues TAB geöffnet und www.gmail.com eingegeben?
Das geöffnete GMAIL Account ist wieder da.

Ist das ein Feature?

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Frage zu GMAIL-Sicherheit
« Antwort #1 am: 27.04.07 - 17:03:23 »
Wo ist das Problem? Solange Du Dich an dem Rechner bei GMail nicht ausgelogged (<> Tab/Fenster schließen) hast, bist Du automatisch wieder in GMail drinnen. Egal, ob Du GMail im gleichen Fenster, einem neuen Tab oder einem neuen Browser-Fenster aufmachts (Cookies).
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Don Pasquale

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.390
  • Geschlecht: Männlich
  • Don Pasquale
    • Auf Verlorenem Posten
Re: Frage zu GMAIL-Sicherheit
« Antwort #2 am: 27.04.07 - 17:25:34 »
Ich hab das mal mit WEB.de verglichen, da ist das nicht so.
Und wo das Problem liegt, muß ich ja wohl keinem erklären,
der einmal das ausloggen vergessen hat.

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Frage zu GMAIL-Sicherheit
« Antwort #3 am: 27.04.07 - 17:34:56 »
Bei Web.de ist das genauso, ich hab mir grad einen Account angelegt und ausprobiert.

Nachdem ich mich angemeldet habe, bin ich auf eine Seite mit der URL
https://freemailng2701.web.de/online/frame.htm?si=su7i.1hHsgj.XXXXXX.XX**
gekommen, in der ich mein Webmail hatte.

Tab zu, neuen Tab auf, URL aus der Zwischenablage oder der Browser-Historie eingefüllt und ich war ohne Anmeldung im Webmail wieder drinnen.

Wenn man sich nicht manuell abmeldet ...
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Don Pasquale

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.390
  • Geschlecht: Männlich
  • Don Pasquale
    • Auf Verlorenem Posten
Re: Frage zu GMAIL-Sicherheit
« Antwort #4 am: 27.04.07 - 17:39:08 »
Das IST es ja was ich meine, ich habe eben nicht die
Session-ID mitkopiert, sondern wirklich nur
"www.GMAIL.com" eingegeben und bin prompt
im E-Mail Client.

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: Frage zu GMAIL-Sicherheit
« Antwort #5 am: 27.04.07 - 17:40:50 »
das ist wohl der "redirect" aufgrund des cookies - oder?

Erst wenn der Browser komplett geschlossen wird und die cookies ungültig klappt das nicht mehr.
Darum beim Schließen des Firefox immer Cookies mit löschen lassen.
« Letzte Änderung: 27.04.07 - 17:42:28 von WernerMo »
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline Don Pasquale

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.390
  • Geschlecht: Männlich
  • Don Pasquale
    • Auf Verlorenem Posten
Re: Frage zu GMAIL-Sicherheit
« Antwort #6 am: 27.04.07 - 17:52:04 »
Ich denke, ich werde mir kein GMail Account anschaffen.

Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: Frage zu GMAIL-Sicherheit
« Antwort #7 am: 27.04.07 - 19:09:51 »
Skandal  ;D
Geht mal in Firefox auf Extras/Einstellungen/Datenschutz/Cookies anzeigen.


Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

Offline Don Pasquale

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.390
  • Geschlecht: Männlich
  • Don Pasquale
    • Auf Verlorenem Posten
Re: Frage zu GMAIL-Sicherheit
« Antwort #8 am: 28.04.07 - 18:56:05 »
Ach Marinero, ein ganzer Beitrag in Deutsch und sogar lesbar.
Wie überraschend. Leider wieder den Inhalt nicht erfasst.

Mir ist schon klar, dass es an den Cookies liegt und wie man diese löscht,
dafür also keinen Dank.

Ich finde es dennoch bedenklich, dass ich in einem neuen Browser nur
den TOP-LEVEL-DOMAIN eingeben musste, um sofort Zugang zu den Mails
zu haben. Das ist von einer anderen Qualität als die Session-ID
zu kopieren.


Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: Frage zu GMAIL-Sicherheit
« Antwort #9 am: 29.04.07 - 21:28:19 »
Find ich hab sprachlich in letzter Zeit ein wenig abgerüstet.

Ich vermute username/pwd oder eine mit meinem Konto verbundene id ist verschlüsselt in einem der Cookies Texte. In Internet Cafes würde ich natürlich immer den Sign-Out button verwenden. Und dann geht das irgendwie über redirection (HTTP return codee 302, spelling, Martin weiss das sicher, konnte btw. aufgund einer persönlichen Sache leider nicht nach Kulmbach kommen).

[klugscheisserModeOn]* Ich würd deshalb aber nicht Google als grundsätzlich unsicher bezeichnen. Kommt eben drauf an, wie mans nutzt. Für meine Zwecke ist es sicher [/klugscheisserModeOff]

* Don fragt sich jetzt vermutlich: War der jemals off  ;D
Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

Offline Don Pasquale

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.390
  • Geschlecht: Männlich
  • Don Pasquale
    • Auf Verlorenem Posten
Re: Frage zu GMAIL-Sicherheit
« Antwort #10 am: 30.04.07 - 11:31:16 »
Sprachlich abgerüstet: Stimmt.

Wir sind ja glaube ich, bei in der QS von Finanzapplikationen tätig, oder täusche ich mich da?
Wenn ich an einem Rechner sitze, den noch jemand anderes nutzt, versuche ich
natürlich sämtliche Türen hinter mir zu verschliessen. Aber manchmal muss es eben
schnell gehen und da klickt der Ein oder Andere halt mal nur auf SchliessMich-Kreuzchen.
Ich würde das unserer Applikation nicht durchgehen lassen, Du?

Offline pd

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 709
  • Geschlecht: Männlich
  • HammHamm :-)
Re: Frage zu GMAIL-Sicherheit
« Antwort #11 am: 30.04.07 - 11:54:47 »
Die Sache ist ja auch die, dass die Forumsnutzer hier zu den Leuten zählen, die einen Computer zumindest einigermaßen bedienen können. Webmailer nutzt aber auch jeder nicht so bedarfte, der einmal gelernt hat, mit dem [X] beendet man alles... In diesem Sinne wäre es sicherlich förderlich entsprechend zu programmieren.

Gruß, Patrick
<antik>Patrick  Gold Platin u.s.w. member:) nur in Sachen Fragenstellen, Infrastruktur und Offtopic ;-) Domino R6 6.5.6 FP2 Server - Notes 6 (6.5.5) Clients</antik>
<aktuell> Abschied aus IT-Welt, User (Kein Serverzugriff, aber Mitglied der Admingruppe ;-) R8.5 </aktuell>

Offline animate

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.540
  • Uh, I'm just gonna go find a cash machine.
    • LA2
Re: Frage zu GMAIL-Sicherheit
« Antwort #12 am: 30.04.07 - 12:02:54 »
Das läuft nicht nur bei GMAIL so. Auch z. B. die Authentifizierung am Tomcat und IIS wird sich gemerkt (bei den Anwendungen, die ich nutze), wenn man nur das Tab schließt.
Am besten Browser schließen (also nicht nur das Tab) und gut is.
« Letzte Änderung: 30.04.07 - 12:14:14 von Thomas Völk »
Thomas

Fortunately, I'm adhering to a pretty strict, uh, drug, uh, regimen to keep my mind, you know, uh, limber.

Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: Frage zu GMAIL-Sicherheit
« Antwort #13 am: 30.04.07 - 12:49:35 »
Wir sind ja glaube ich, bei in der QS von Finanzapplikationen tätig, oder täusche ich mich da?
Nicht ganz. Ich bin Programmierer und einige der Anwendungen gehören in den Bereich Finanzen und Versicherungen (eher letzteres ).
Zitat
Ich würde das unserer Applikation nicht durchgehen lassen, Du?
Es kommt aus meiner Sicht darauf an wie hoch die allgemeinen Ansprüche an die Sicherheit sind. Imho übertragen alle Webmailer die Daten per http und nicht https. Ein Webmailer, der allemöglichen Sicherheitsfeatures besitzt, dann aber doch eine offen läßt, ist vielleicht unsicherer als einer, der aus usability Gründen ein paar weitere Türen offen läßt. Einfach weil der erstere vielleicht etwas vorgaukelt.
Im Laufe der letzten 7,5 Jahre sind an mich immer wieder Anforderungen herangetragen worden, bei denen ich angemerkt habe, dass das sicherheitsmässig bedenklich bis schwer bedenklich sind. Nicht alle Organisationen haben eine solche QS. Leider. Manche dieser Anforderungen wurden umgesetzt. Der krasseste Fall war eine IHK, die gerade dabei war, mir als "realistische Testdaten" die Liste der Leute in NRW zur Verfügung stellen, die wegen extremer Verschuldung auf der ganz schwarzen Liste standen. Das wurde aber gestoppt. Von mir übrigens ;D

Seh aber Sicherheit als Fall-zu-Fall Geschichte. Webmailer haben eben aus meiner Sicht nicht so hohe Anforderungen an Sicherheit. Wenn sich diese Einschätzung in der Bevölkerung verbreitet, ist das vielleicht diese beste Sicherheit für diese Produktgruppe.

In vielen Organisationen hab ich beobachtet, dass sich mit ungenügender QS leicht eine Haltung einschleicht: "Theoretisch sind wir für 120% Sicherheit. Die Praxis sieht aber ein bischen anders aus". Das find ich wesentlich problematischer als eine Sichtweise nach der Fall-zu-Fall entschieden wird was geht und was nicht geht.

@Thomas: Mit httpSession.invalidate() an der richtigen Stelle kann man ein echtes log-out durchführen.
« Letzte Änderung: 30.04.07 - 12:51:13 von Axel Janssen »
Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

Offline animate

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.540
  • Uh, I'm just gonna go find a cash machine.
    • LA2
Re: Frage zu GMAIL-Sicherheit
« Antwort #14 am: 30.04.07 - 14:31:15 »
@Thomas: Mit httpSession.invalidate() an der richtigen Stelle kann man ein echtes log-out durchführen.
Was wäre denn eine richtige Stelle dafür? Du bekommst doch nicht mit, wenn der Benutzer sein Tab schließt.
Thomas

Fortunately, I'm adhering to a pretty strict, uh, drug, uh, regimen to keep my mind, you know, uh, limber.

Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: Frage zu GMAIL-Sicherheit
« Antwort #15 am: 30.04.07 - 15:11:45 »
Ein Log-out button  ;D , der natürlich in der Hektik auch vergessen werden kann.
Die Annahme, dass der User nicht vergisst, diesen Button zu klicken, würde QS Revisionen in aller Regel passieren.
Eine Alternative bestände darin, dass die Lebensdauer von inaktiven User-Sessions auf extrem kurze Zeiträume gesetzt wird. Aber das wird wg. usability nicht akzeptiert und ist auch nur ein Kompromiss.

Unter der Annahme eines unachtsamen Users helfen vielleicht noch leicht perverse Ideen wie ein GPS System, dass die Position eines Anwenders nachfragt und die Session schliesst, wenn er sich vom Arbeitsplatz entfernt. Aber das geht arbeitsrechtlich gar nicht (zum Glück).

Sicherheit ist eben wichtig und relativ. Ein Spiel mit Wahrscheinlichkeiten. Geht um die Minimierung von Risiken. Nicht um perfekte Lösungen.
« Letzte Änderung: 30.04.07 - 15:13:35 von Axel Janssen »
Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

Offline animate

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.540
  • Uh, I'm just gonna go find a cash machine.
    • LA2
Re: Frage zu GMAIL-Sicherheit
« Antwort #16 am: 30.04.07 - 16:10:27 »
Ach so meintest du das. Ja, das kann man machen.
Ich wollte nur darauf hinweisen, dass nicht nur Gmail offen für jeden ist, der in der gleichen Browserinstanz arbeitet, in der sich der berechtigte Benutzer angemeldet hat. Was es natürlich nicht besser macht.
Thomas

Fortunately, I'm adhering to a pretty strict, uh, drug, uh, regimen to keep my mind, you know, uh, limber.

Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: Frage zu GMAIL-Sicherheit
« Antwort #17 am: 30.04.07 - 22:52:42 »
Ursprünglich hab ich das gar nicht so gemeint, aber nach deinem Posting wurde es offensichtlich.
el cubano comprende el mundo hablando
Der Kubaner versteht die Welt beim reden (über sie). (kubanisches Sprichwort)

Oft nervt das Leute. (Schildkröte*-Effekt: Lass mich in Ruhe, ich hab Feierabend).
Besonders Leute, die sich ausgeschlossen von Fachdiskussionen fühlen. Ist aber ein effektiver Weg des Verstehens. Ein Satz wie "IT-Security ist immer relativ" ist leichter dahergesagt als wirklich anhand von Beispielen begriffen.


* der Kumpel von Ditsche.

Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz