Ga naar inhoud
Log in om dit te volgen  
Volgers 0
Dylan

Opnieuw inloggen

Door Dylan, in Bugs

Aanbevolen berichten

tendmex    2

tendmex
Geplaatst
Dit moest ik bij de start van one2xs 2.0.

Dat heb ik toen gemeld en heeft lennard het gefixt. Ik ben 1x op een device uitgelogd. (volgens mij was het me telefoon) Voor de rest heb ik nergens last van?

Deel dit bericht

Link naar bericht
Delen op andere sites

Dylan    1

Dylan
Geplaatst
Lennard (link):
Hoe vaak is "hele tijd"?


Ik log in op stage, ben ik uitlogt thuis log ik thuis in ben ik weer op stage uitgelogd.

Deel dit bericht

Link naar bericht
Delen op andere sites

Rik    5

Rik
Geplaatst
Ik heb hetzelfde als Dylan inderdaad. Verschillende IPs, maar wel zelfde browser. Misschien dat dat onderdeel van het probleem is?

Deel dit bericht

Link naar bericht
Delen op andere sites

Lennard    10

Lennard
Geplaatst
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...

Deel dit bericht

Link naar bericht
Delen op andere sites

Rik    5

Rik
Geplaatst
Lennard (link):
Er wordt niet meer naar het IP gekeken; ik ben zelf mobiel ook gewoon altijd ingelogd.
Thuis (Chrome) ben ik wel zo nu en dan uitgelogd maar dat komt omdat Chrome telkens nieuwe updates uitbrengt. Nu kan ik ook die check wel weghalen, maar dat betekent dat je heel eenvoudig sessies kunt stelen en dat lijkt me ook weer niet de bedoeling...


Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?

Deel dit bericht

Link naar bericht
Delen op andere sites

Gast   

Gast
Geplaatst
Rik (link):
Klik om eerdere quotes te tonen


Is dat met SSL niet bijna een non-issue geworden? De enige manier waarop je nog echt een cookie zou kunnen stelen is door fysiek het cookiebestand te kopieren. Een MITM die de cookie sniffed kan niet met SSL. Of ligt dat aan mij?

XSS? Mocht het ergens mogelijk zijn...

Deel dit bericht

Link naar bericht
Delen op andere sites

Rik    5

Rik
Geplaatst
Sevvlor (link):
Klik om eerdere quotes te tonen

XSS? Mocht het ergens mogelijk zijn...


Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk.

Deel dit bericht

Link naar bericht
Delen op andere sites

Lennard    10

Lennard
Geplaatst
Rik (link):
Klik om eerdere quotes te tonen


Maak de cookie HTTP-only. Dan kan je hem alleen benaderen via HTTP en niet via javascript. Dat maakt XSS praktisch onmogelijk.
Ze zijn al http only en secure only, maar ik meen mij te herinneren dat het geen sluitende beveiliging gaf en er desondanks mogelijkheden waren om de cookies te tonen, al kan ik dat nu niet zo snel meer terugvinden.

Deel dit bericht

Link naar bericht
Delen op andere sites

tendmex    2

tendmex
Geplaatst
Ben ik de enige die er geen last van heeft? smiley
Blijf op alle devices ingelogd, ook met verschillende ips.

toevoeging op dinsdag 15 november 2016, 22:11:03:
Ook na reboot van PC blijf ik ingelogd.

Deel dit bericht

Link naar bericht
Delen op andere sites

Lennard    10

Lennard
Geplaatst
Luuko (link):
Had net ff one2xs weggeklikt.
Moest weer opnieuw inloggen daarna...
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.

Deel dit bericht

Link naar bericht
Delen op andere sites

Gast   

Gast
Geplaatst
Lennard (link):
Klik om eerdere quotes te tonen
Er zijn alleen maar sessies open met allemaal verschillende user agents, dus dan was net je browser geüpdate. Ik zal overwegen of die browsercheck er uit kan of op een andere manier vorm kan krijgen, maar dat is in ieder geval de oorzaak hiervan.


Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA.

Deel dit bericht

Link naar bericht
Delen op andere sites

Lennard    10

Lennard
Geplaatst
Sevvlor (link):
Klik om eerdere quotes te tonen


Ik zou kijken of de browser niet veranderd is. Dus alleen kikken naar delen van de UA.
Dat zou inderdaad een optie kunnen zijn. Ik zal er binnenkort eens naar kijken, verder lijkt het me goed om over de beveiligingsaspecten niet al teveel informatie te delen. smiley

Deel dit bericht

Link naar bericht
Delen op andere sites

Rik    5

Rik
Geplaatst
Dylan (link):
Als je met 2FA login inlogt dan is het toch al veilig genoeg?


Maar dat doet niet iedereen.

Deel dit bericht

Link naar bericht
Delen op andere sites

Lennard    10

Lennard
Geplaatst
Dylan (link):
Als je met 2FA login inlogt dan is het toch al veilig genoeg?
Dat gaat enkel over het inloggen zelf, je moet ook de sessies beveiligen en bewaken. Inloggen zelf is ook veilig genoeg omdat iemand anders je wachtwoord niet kent, maar als je zelf inlogt en iemand anders steelt je sessies, dan is ie alsnog binnen als je verder nergens op controleert.

Deel dit bericht

Link naar bericht
Delen op andere sites

Gast   

Gast
Geplaatst
Volgens mij wordt er bijna nergens meer naar UA gekeken, want ik heb het zelf ook alleen bij One2xs.
Als je iemands sessie wil jatten moet je al zijn token hebben, en als je die gejat hebt, dan kan je net zo goed ook zijn UA jatten want die is nog makkelijker te verkrijgen.

Imo beetje schijnveiligheid, wat het alleen maar user unfriendly maakt.

Deel dit bericht

Link naar bericht
Delen op andere sites

tendmex    2

tendmex
Geplaatst
Op het moment dat ik in dezelfde browser, in hetzelfde netwerk, op een andere computer inlog met hetzelfde os word ik wel op de andere uitgelogd. Maar in verschillende netwerken of browsers of ossen heb ik er nog steeds geen last van.

Geen idee of er inmiddels iets ana gedaan is, maar dacht meld het toch even.

Deel dit bericht

Link naar bericht
Delen op andere sites

Gast   

Gast
Geplaatst
Tendmex (link):
Op het moment dat ik in dezelfde browser, in hetzelfde netwerk, op een andere computer inlog met hetzelfde os word ik wel op de andere uitgelogd. Maar in verschillende netwerken of browsers of ossen heb ik er nog steeds geen last van.

Geen idee of er inmiddels iets ana gedaan is, maar dacht meld het toch even.


Hoe kan je op dezelfde browser inloggen op andere computer?
Tenzij je remote desktop oid hebt.
Maar dan zit je technisch gezien op die machine.

Deel dit bericht

Link naar bericht
Delen op andere sites

tendmex    2

tendmex
Geplaatst
Jessee (link):
Klik om eerdere quotes te tonen


Hoe kan je op dezelfde browser inloggen op andere computer?
Tenzij je remote desktop oid hebt.
Maar dan zit je technisch gezien op die machine.


Op pc a sta ik ingelogd op chrome, sta op, loop naar pc b en log daar ook in op chrome, loop terug naar pc a en ben daar in chrome uitgelogd.

Niet zo moeilijk?

Deel dit bericht

Link naar bericht
Delen op andere sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gast
Reageer op dit topic...

×   Geplakt als RTF formaat tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
Log in om dit te volgen  
Volgers 0
Ga naar topic overzicht
×
×
  • Nieuwe aanmaken...