Dylan 1 Geplaatst 14 november 2016 Ik moet hele tijd opnieuw inloggen, klopt dat? ;s Deel dit bericht Link naar bericht Delen op andere sites
Gast Geplaatst 14 november 2016 Verwijder alle one2xs cookies eens? Deel dit bericht Link naar bericht Delen op andere sites
Luuko 0 Geplaatst 14 november 2016 Same here Deel dit bericht Link naar bericht Delen op andere sites
Lennard 8 Geplaatst 14 november 2016 Hoe vaak is "hele tijd"? Deel dit bericht Link naar bericht Delen op andere sites
tendmex 2 Geplaatst 14 november 2016 Dit moest ik bij de start van one2xs 2.0. Dat heb ik toen gemeld en heeft lennard het gefixt. Ik ben 1x op een device uitgelogd. (volgens mij was het me telefoon) Voor de rest heb ik nergens last van? Deel dit bericht Link naar bericht Delen op andere sites
Dylan 1 Geplaatst 15 november 2016 Lennard (link): Hoe vaak is "hele tijd"? Ik log in op stage, ben ik uitlogt thuis log ik thuis in ben ik weer op stage uitgelogd. Deel dit bericht Link naar bericht Delen op andere sites
Rik 5 Geplaatst 15 november 2016 Ik heb hetzelfde als Dylan inderdaad. Verschillende IPs, maar wel zelfde browser. Misschien dat dat onderdeel van het probleem is? Deel dit bericht Link naar bericht Delen op andere sites
Lennard 8 Geplaatst 15 november 2016 Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd. Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling... Deel dit bericht Link naar bericht Delen op andere sites
Rik 5 Geplaatst 15 november 2016 Lennard (link): Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd. Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling... Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij? Deel dit bericht Link naar bericht Delen op andere sites
Gast Geplaatst 15 november 2016 Rik (link): Klik om eerdere quotes te tonen Lennard (link): Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd. Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling... Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij? XSS? Mocht het ergens mogelijk zijn... Deel dit bericht Link naar bericht Delen op andere sites
Rik 5 Geplaatst 15 november 2016 Sevvlor (link): Klik om eerdere quotes te tonen Rik (link): Lennard (link): Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd. Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling... Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij? XSS? Mocht het ergens mogelijk zijn... Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk. Deel dit bericht Link naar bericht Delen op andere sites
Lennard 8 Geplaatst 15 november 2016 Rik (link): Klik om eerdere quotes te tonen Sevvlor (link): Rik (link): Lennard (link): Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd. Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling... Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij? XSS? Mocht het ergens mogelijk zijn... Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk. Ze zijn al http only en secure only, maar ik meen mij te herinneren dat het geen sluitende beveiliging gaf en er desondanks mogelijkheden waren om de cookies te tonen, al kan ik dat nu niet zo snel meer terugvinden. Deel dit bericht Link naar bericht Delen op andere sites
Dylan 1 Geplaatst 15 november 2016 Net mijn PC opnieuw opgestart, moest weer opnieuw inloggen (zelfde IP) Deel dit bericht Link naar bericht Delen op andere sites
Luuko 0 Geplaatst 15 november 2016 Had net ff one2xs weggeklikt. Moest weer opnieuw inloggen daarna... Deel dit bericht Link naar bericht Delen op andere sites
tendmex 2 Geplaatst 15 november 2016 Ben ik de enige die er geen last van heeft? Blijf op alle devices ingelogd, ook met verschillende ips. toevoeging op dinsdag 15 november 2016, 22:11:03: Ook na reboot van PC blijf ik ingelogd. Deel dit bericht Link naar bericht Delen op andere sites
Lennard 8 Geplaatst 15 november 2016 Luuko (link): Had net ff one2xs weggeklikt. Moest weer opnieuw inloggen daarna... Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan. Deel dit bericht Link naar bericht Delen op andere sites
Gast Geplaatst 16 november 2016 Lennard (link): Klik om eerdere quotes te tonen Luuko (link): Had net ff one2xs weggeklikt. Moest weer opnieuw inloggen daarna... Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan. Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA. Deel dit bericht Link naar bericht Delen op andere sites
Lennard 8 Geplaatst 16 november 2016 Sevvlor (link): Klik om eerdere quotes te tonen Lennard (link): Luuko (link): Had net ff one2xs weggeklikt. Moest weer opnieuw inloggen daarna... Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan. Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA. Dat zou inderdaad een optie kunnen zijn. Ik zal er binnenkort eens naar kijken, verder lijkt het me goed om over de beveiligingsaspecten niet al teveel informatie te delen. Deel dit bericht Link naar bericht Delen op andere sites
Dylan 1 Geplaatst 16 november 2016 Als je met 2FA login inlogt dan is het toch al veilig genoeg? Deel dit bericht Link naar bericht Delen op andere sites
Rik 5 Geplaatst 16 november 2016 Dylan (link): Als je met 2FA login inlogt dan is het toch al veilig genoeg? Maar dat doet niet iedereen. Deel dit bericht Link naar bericht Delen op andere sites
Lennard 8 Geplaatst 16 november 2016 Dylan (link): Als je met 2FA login inlogt dan is het toch al veilig genoeg? Dat gaat enkel over het inloggen zelf, je moet ook de sessies beveiligen en bewaken. Inloggen zelf is ook veilig genoeg omdat iemand anders je wachtwoord niet kent, maar als je zelf inlogt en iemand anders steelt je sessies, dan is ie alsnog binnen als je verder nergens op controleert. Deel dit bericht Link naar bericht Delen op andere sites
Gast Geplaatst 25 november 2016 Volgens mij wordt er bijna nergens meer naar UA gekeken, want ik heb het zelf ook alleen bij One2xs. Als je iemands sessie wil jatten moet je al zijn token hebben, en als je die gejat hebt, dan kan je net zo goed ook zijn UA jatten want die is nog makkelijker te verkrijgen. Imo beetje schijnveiligheid, wat het alleen maar user unfriendly maakt. Deel dit bericht Link naar bericht Delen op andere sites
tendmex 2 Geplaatst 18 januari 2017 Op het moment dat ik in dezelfde browser, in hetzelfde netwerk, op een andere computer inlog met hetzelfde os word ik wel op de andere uitgelogd. Maar in verschillende netwerken of browsers of ossen heb ik er nog steeds geen last van. Geen idee of er inmiddels iets ana gedaan is, maar dacht meld het toch even. Deel dit bericht Link naar bericht Delen op andere sites
Gast Geplaatst 18 januari 2017 Tendmex (link): Op het moment dat ik in dezelfde browser, in hetzelfde netwerk, op een andere computer inlog met hetzelfde os word ik wel op de andere uitgelogd. Maar in verschillende netwerken of browsers of ossen heb ik er nog steeds geen last van. Geen idee of er inmiddels iets ana gedaan is, maar dacht meld het toch even. Hoe kan je op dezelfde browser inloggen op andere computer? Tenzij je remote desktop oid hebt. Maar dan zit je technisch gezien op die machine. Deel dit bericht Link naar bericht Delen op andere sites
tendmex 2 Geplaatst 18 januari 2017 Jessee (link): Klik om eerdere quotes te tonen Tendmex (link): Op het moment dat ik in dezelfde browser, in hetzelfde netwerk, op een andere computer inlog met hetzelfde os word ik wel op de andere uitgelogd. Maar in verschillende netwerken of browsers of ossen heb ik er nog steeds geen last van. Geen idee of er inmiddels iets ana gedaan is, maar dacht meld het toch even. Hoe kan je op dezelfde browser inloggen op andere computer? Tenzij je remote desktop oid hebt. Maar dan zit je technisch gezien op die machine. Op pc a sta ik ingelogd op chrome, sta op, loop naar pc b en log daar ook in op chrome, loop terug naar pc a en ben daar in chrome uitgelogd. Niet zo moeilijk? Deel dit bericht Link naar bericht Delen op andere sites