Frage zu Log-in Funktion "Angemeldet bleiben"?

Hi, bei vielen (Online)Accounts gibt es ja die Funktion "Angemeldet bleiben". Wodurch funktioniert diese, durch Speicherung von Cookies auf dem Computer?

Auch wüsste ich gerne ob die Gefahr besteht wenn man angemeldet bleibt, sprich bei dieser Funktion das Häkchen auf Ok setzt, das sich jemand von anderswo einfach Zutritt zu dem Eigenen Account schaffen kann, während man die ganze Zeit angemeldet ist?

Und ist dies nur Browser-Basiert? Sprich das die Angemeldet Funktion nur aufrecht bleibt solange man den gleichen Browser benutzt?

Was passiert wenn man bei seinen Internetoptionen die Funktion eingestellt hat das nach Browser-ende alle Cookies etc. gelöscht werden, oder wenn man sogar einen Browser deinstalliert weil man ihn nicht mehr nutzt?

1 Antwort

FaronWeissAlles

07.12.2017, 13:18

Das funktioniert so:

Beim einloggen wird Username und Passwort mit den gespeicherten Zugangsdaten in der Datenbank abgeglichen. Stimmen sie, wird serverseitig eine Session angelegt. Stell dir das vor wie eine Tabelle mit den Spalten "Session ID", "User ID", "Timeout" und ggf. weiteren Daten, die ständig gebraucht werden (z.B. eine Kopie vom Anzeigename) oder Session-spezifisch sind. Jede aktive Session ist eine Zeile in der Tabelle. Beim Anlegen einer Session wird mithilfe einer Hashfunktion eine Session ID generiert, die dann im zum Nutzer gesendet wird. Der Browser legt daraufhin ein Cookie an, das die ID speichert. Das Cookie hat ebenfalls ein Timeout gesetzt, ab dem der Browser es als verfallen ansieht.

Bei jedem Seitenaufruf wird jetzt das Cookie in der HTTP-Anfrage mitgesendet. Der Server sieht die Session ID, prüft seinerseits ob es nach seinen Informationen noch aktuell ist. Und wenn ja, weiß er welcher Nutzer es ist der die Seite aufgerufen hat (er kennt ja die zugehörige User ID) und erkennt ihn als eingeloggt an. Fehlt das Cookie in der Anfrage (vom Nutzer im Browser gelöscht / abgelaufen) oder ist serverseitig der Timeout abgelaufen weiß der Server nicht mehr welcher Nutzer das ist weil er es entweder tatsächlich nicht weiß oder die Session nicht mehr als gültig anerkennt und die Zeile löscht. Das ist der automatische Logout. Der manuelle Logout entfernt die Zeile direkt auf Nutzerwunsch.

Wobei gesagt werden muss dass die entscheidende Variable eher der serverseitige Timeout Wert ist, da ein Nutzer das Cookie nach Belieben manipulieren kann. Außerdem wird in der Praxis häufig immer eine Session gestartet, auch wenn sie nicht mit einem Nutzer assoziiert wird (das geschieht dann erst beim Login). Aber das sind Feinheiten der Implementierung.

Die "angemeldet bleiben" Option macht nichts anderes als den Timeout im Cookie und der Session-Variable hochsetzen. Entweder auf einen besonders langen Zeitraum (z.B. eine Woche) oder gar auf sowas wie "unendlich".

D.h. alles hängt hier vom Cookie ab. Jeder, der an deine Cookies kommt hat deine (noch aktuelle) Session ID und kann dem Server vorgaukeln dass du es bist und ist eingeloggt. Ein Browser erlaubt dem JavaScript auf Webseiten zwar nur das auslesen der eigenen Cookies (Das JavaScript in der gmx.de-Webseite darf Cookies für gmx.de auslesen), aber wenn ein Angreifer es schafft eigenen JavaScript-Code einzuschleusen (z.B. weil eine Kommentarfunktion die Eingabe nicht überprüft) könnte er die ID auslesen und sich schicken. Das nennt sich Cross-Site-Scripting (XSS-Attacke).

Wenn du auf das Schloss neben der Adresszeile klickst, dir die Cookies der aktuellen Webseite ansiehst kannst du ein Cookie finden mit einem Namen wie PHP_SESSION_ID oder gfmsession1 oder ähnlich. Das ist die Session ID. Wenn du willst kannst du dir ja mal ein Addon wie EditThisCookie in einem zweiten, völlig anderen Browser installieren, die Session ID vom ersten Browser kopieren, unter der selben Domain und Cookie-Namen mithilfe des Addons manuell anlegen und die Seite aufrufen. Dann müsstest, du wenn alles klappt, sofort angemeldet sein ohne dass du jemals vorher die Webseite in dem Browser aufgerufen hast. Es sei denn, die Webseite trifft Maßnahmen dagegen und speichert sich in der Session-Variable auch Browser-Informationen und/oder IP-Adresse und nutzt das zusätzlich für die Prüfung.

Erdbeerkaese22

Fragesteller

10.12.2017, 20:42

Ich danke dir für die ausführliche Erklärung :)

Pulok00

28.08.2019, 22:42

Ich hätte eine Frage, angenommen man wird von einer Website weitergeleitet und kommt dann auf eine Fake-Website die vortäuscht sie wäre z.B. Amazon. Da man bei Amazon auf angemeldet bleiben war, wird doch der Browser annehmen dass das Aamazon war und ihm die Daten zur meinem Account schicken.

FaronWeissAlles

29.08.2019, 20:00

@Pulok00

angenommen man wird von einer Website weitergeleitet und kommt dann auf eine Fake-Website die vortäuscht sie wäre z.B. Amazon

Diese Fake-Webseite hat aber nicht die Domain amazon.com sondern eine andere, die vielleicht nur so ähnlich klingt, sagen wir anazon.com. Für den Browser sind das völlig unterschiedliche Webseiten, auch wenn sie für den Nutzer gleich aussehen. Der Webseiteninhalt spielt dabei keine Rolle. Daher kann anazon die amazon-Cookies auch nicht einsehen bzw. bekommt sie nicht gesendet.

Eine Weiterleitung wird auch nicht von der Webseite durchgeführt, sondern vom Browser. Die Webseite bittet den Browser die genannte Seite auzurufen, der löst dann die genannte Webadresse selbst über das DNS-System auf und kennt die IP des Zielservers.

Unabhängig davon wohin der Browser weitergeleitet wird wird beim Aufbau der verschlüsselten Verbindung (noch bevor die Cookies gesendet werden, das geschieht später und verschlüsselt) die Authentizität der Webseite geprüft mithilfe digitaler Zertifikate. Also ob der Rechner tatsächlich zu Amazon gehört. Der Zielrechner muss dazu eine Aufgabe lösen die nur der Besitzer des Amazon-Zertifikats lösen kann - zumindest solange bis jemand das bisher ungelöste mathematische Problem dahinter löst (z.B. die effiziente Zerlegung von Zahlen in ihre Primfaktoren)

Hi, ich hatte mich gestern auf Origin eingeloggt, einmal über das Programm auf meinem Pc und einmal über die Website Origin. Dann ging ich auf die EA-Webseite um meinen Account zu bearbeiten. Wenn man sich auf EA ausloggt , meldet sich scheinbar automatisch auch der Origin Account ab(ist ja miteinander verknüpft). Ich habe aber gemerkt das sich der verknüpfte Account auf Sims 3 nicht mit abmeldet, diesen muss man separat abmelden.

Dazu hätte ich die Frage ob es allgemein unsicherer ist sich von Websites nicht auszuloggen, so das, wenn man den Browser wieder startet und die Seite besucht automatisch noch eingeloggt ist, oder ist es besser sich immer auszuloggen,wenn ja, warum?(z.b wegen hacking etc?)

Dann wüsste ich noch gerne ob es etwas mit den Cookies zu tun hat , die auf dem Pc gespeichert werden. Wenn man die Funktion eingeschaltet hat, das diese jedes mal gelöscht werden, wenn der Browser geschlossen wird, kann man dann auch nicht die Funktion nutzen "dauerhaft angemeldet bleiben" die manche Anbieter anbieten?

Oder ist es dennoch möglich das man irgendwo eingeloggt bleiben kann, obwohl die Cookies gelöscht wurden?

...zur Frage

ACC Gehackt?

Hallo, seit etwa einer Woche meldet sich immer jmd mit meinen acc an. Angefangen hat es mit Steam und Epic Games, dann wurden in Discord irgendwelche Nachrichten mit links verschickt, dann wurde meine Instagram E-Mail geändert nun wurde sich mit meinem Microsoft Account angemmeldet und mit meinem Twitch acc stimmt auch etwas nicht. Ich habe mich nirgends angemeldet, etwas komisches installiert ider ähnliches. Ich habe auch schon sämtliche Virenscans mit unterschiedlichen Antivirenprogrammen gemacht aber nirgends kam etwas raus, bis her habe ich dann immer die Passwörter geändert. Kann mir irgend jemand hefen, so langsam bin ich am verzweifeln und weiß nicht was ich tun soll.

...zur Frage

Warum muss ich Cookies bei Ebay akzeptieren und wie geht denn das überhaupt?

Wenn ich mich bei Ebay einlogge, kommt da immer eine Seite, dass ich die Cookies akzeptieren soll, wegen der Sicherheit und das ich Ebay im vollen Umfang nutzen kann. Ich soll bei meinem Browser es so einstellen, dass er die Cookies von Ebay akzeptiert. Ich habe IE . Muss ich das machen ?, wenn ja , wo und wie soll ich das machen?

Ich habe schon folgendes probiert:

Extras - Internetoptionen - Datenschutz - Schalter auf "Mittelhoch" Einstellung
Extras - Internetoptionen - Datenschutz - Sites und dann " www. ebay.de immer zulassen "

Es zeigt mir aber immer noch an, dass die Browsereinstellungen nicht richtig sind. Was soll ich denn sonst noch machen? Bitte genau erklären, da ich mich nicht so gut auskenne. Danke!

...zur Frage

Outlook Web Access: bleibt man eingeloggt solange das Fenster offen ist?

Ich warte auf eine wichtige Email, die ich über Outlook Web Access heute bekommen werde. Wie ist das dort mit dem ausgeloggt werden? Bleibt man da solange eingeloggt, bis man sich ausloggt? Oder wird man nach einer gewissen Zeit automatisch ausgeloggt? Ich würde das Browserfenster offen lassen und immer mal wieder aktualisieren.

Es ist jetzt keine weltbewegende Frage, aber es interessiert mich trotzdem :)

...zur Frage

Kann mich bei Vpn etc eine Website identifizieren?

Wenn ich jetzt über den selben Pc mit meinem normalen Browser auf eine Website gehe und mit einem anderen Browser mit eingebauter VPN auf die gleiche Website gehe, kann die Website identifizieren dass beide Accounts quasi vom selben PC kommen?

Wenn ja könnte ich das durch Proxys, Sandboxen, Vm's etc umgehen?

...zur Frage

PC wird total langsam durch FireFox

Hallo zusammen, ich benutze derzeit noch Windows XP. Kann leider nicht umsteigen auf Windows 7, Linux oder ähnliches da mein CD-Rom-Laufwerk kaputt ist. Ich habe einen Intel HP550 der 1 GB Arbeitsspeicher und ne 2 gHz CPU hat. Ich habe den Browser Firefox und wollte gerne ein Browserspiel spielen. Wenn ich das Spiel spielen möchte brauche ich unbedingt den Firefox & den Adobe Flashplayer. Auf dem Internet Explorer läuft das Spiel irgendwie nicht. nun zu meinem eigentlichen Problem: In diesem Spiel gibts eine Map und wenn ich den Firefox öffne und mich dann beim Spiel anmelde &die Map öffne dann läuft der PC teilweise ganz langsam. Wenn ich dann den Firefox neuinstalliere läuft das Spiel aber wie geschmiert. Je mehr ich den Firefox benutze desto mehr Arbeitsspeicher wird belegt und desto langsamer wird der PC. Ich gehe dann öfters mit dem Programm CCleaner über den Firefox und lösche die Caches, Cookies und so. Zusätzlich gehe ich noch in die Systemeinstellungen und lösche alle Daten von dem Adobe Flashplayer weil es mir so in einem anderen Forum empfohlen wurde. Wie bekomme ich das hin dass ich den Firefox nicht alle paar Tage neuinstallieren muss und er nicht so oft hängen bleibt? Wie sich das bei Google Chrome oder ähnlichem verhält weiß ich nicht. Ein Freund von mir sagte aber das Chrome noch mehr Ressourcen braucht.

Was mache ich jetzt am besten? Ich bekomme evtl in den nächsten 3-4 Monaten meinen nächsten Laptop und so lange möchte ich natürlich nicht auf das Spielen verzichten...

Könnt ihr mir da helfen?

Ich hoffe auf ein paar konstruktive Antworten

Danke im Voraus und Viele Grüße

IceAgeFan

...zur Frage

Wie kann ich ungewollte GMX Passwörter löschen?

Wenn ich mich bei GMX einlogge, erscheinen ca. 20 bis 30 verschiedene Einträge,

dazwischen die gültigen E-Mail Adressen.

Wie kann ich die überflüssigen Einträge löschen?

...zur Frage

Account erstellen

Firefox fordert mich immer auf ein Account zu erstellen. Wozu soll das gut sein, wozu braucht man so etwas? Danke für Antworten

...zur Frage

Gibt es ein tool mit dem ich konstant die Verfügbarkeit des Internets überwachen kann?

Ich such ein ( am besten Freeware ) tool das im Hintergrund läuft und stetig prüft ob eine Verbindung zum Netz besteht. Das ganze soll geloggt werden, sodass ich eine Auswertung vornehmen kann und daraus erkenne wann Zugriff zum Netz gegeben war bzw. eben nicht! Ich hoffe es ist klar was ich meine! Ich nutze WIndows XP und die DSL internetverbindung wird über nen WLan router hergestellt.

...zur Frage

Facebook Löschen wenn man nicht mehr in den Account kommt! ?? Bitte HELFEN!

Heey.

Ich habe auf Facebook dümmlicher Weise sehr viele Konten und ich viel alle löschenlomme aber nicht mehr rein weil ich die E-Mail nicht weiß oder den Namen auch nicht. Gibt es eine Möglichkeit trotzdem alle zu löschen?? Das ist sehr wichtig! Oder kann ich mich an jemanden Wenden dass das geht?? Bitte helft mir Leute! Danke im Vorraus

...zur Frage

Problem mit phpmyadmin - Neue Benutzer kann sich nicht einloggen

Hallo, ich habe ein Problem mit meiner Entwicklungsumgebung und genauer phpmyadmin.

Auf dem Win7-Rechner ist XAMPP installiert. MYSQL root und die htacess-Datei von XAMPP haben bereits ein Passwortschutz bekommen, wie XAMPP es selbst empfiehlt.

Nun wollte ich über phpmyadmin einen Nutzer anlegen, welcher auch nur auf seiner Datenbank zugreifen kann und dort aber alles darf. Wie es u.a. auch auf externen Servern regulär der Fall ist.

Mein Vorgehen:

Login über "root" und mit entsprechendem Passwort.
Menüpunkt: "Benutzer" ausgewählt und auf die Benutzerübersich gekommen
"neuer Benutzer hinzufügen" ausgewählt
Daten eingeben (PW ist natürlich nicht XXXX):

Benutzername [Textfeld verwenden]: Melanie
Host: [jeder Host]: %
Passwort [Texfeld verwenden]: XXXX
Passwort wiederholen: XXXX
Passwort Generieren wurde nicht genutzt
Datenbank für Benutzer: (Auswahl von) Erstelle Datenbank mit gleichen Namen und gewähre alle Rechte
- Globale Rechte: nix ausgewählt, ist aktuell nicht notwendig
- Ressourcenbeschränkung: Alles auf 0 für MAX QUERIES PER HOUR, MAX UPDATES PER HOUR, MAX CONNECTIONS PER HOUR, MAX USER_CONNECTIONS

Auswahl "Benutzer hinzufügen"
An der Seite wird die Datenbank "melanie" angezeigt, ebenso ist in der Benutzerübersicht der Benutzer Melanie, Host %, Passwort ja, Globale Rechte "Usage", Grant nein
Ausloggen als root
Login-Versuch mit Benutzer: Benutzername: Melanie, Passwort: XXXX
Fehler: Anmeldung am MySQL-Server ist fehlgeschlagen.

Der Erzeugte SQL-Code bei phpmyadmin darüber ist folgend:

CREATE USER 'Melanie'@'%' IDENTIFIED BY  '***';

GRANT USAGE ON * . * TO  'Melanie'@'%' IDENTIFIED BY  '***' WITH    
        MAX_QUERIES_PER_HOUR 0  MAX_CONNECTIONS_PER_HOUR 0      
        MAX_UPDATES_PER_HOUR 0  MAX_USER_CONNECTIONS 0 ;

CREATE DATABASE IF NOT EXISTS  `Melanie` ;

GRANT ALL PRIVILEGES ON  `Melanie` . * TO  'Melanie'@'%';

Kann mir vielleicht jemand helfen und sagen woran es liegt und was ich ändern muss?

Ich hatte es davor bereits versucht in dem ich alle globalen Rechte übergebe, aber dies würde ja bedeuten, dass er auch alle anderen Datenbanken sieht und bearbeiten könnte. Was nicht nötig ist. Daran dürfte es also eigentlich liegen - glaube ich -. Aber irgendwo steckt da der Fehler drin.

...zur Frage

Wieso kann ich beim Facebook login nicht dauerhaft angemeldet bleiben?

Das gleiche Problem habe ich beim studivz. Obwohl ich immer wieder nen Haken setze für "angemeldet bleiben" - muss ich mich jedes mal erneut einloggen wenn ich auf die Seite komme.

...zur Frage

Wie lange bleibt mein ehemaliger E-Mail Account nach meiner Löschung für andere Nutzer gesperrt?

Ich habe einen Account bei gmx. Wenn ich den lösche, ist er doch für andere User, die Interesse an meinem Accountnamen haben gesperrt, oder? Falls nicht, könnte sich doch jemand direkt nach meiner Abmeldung meine Adresse schnappen und würde ggf. noch E-Mails erhalten, die eigentlich an mich gedacht waren. Wie lange ist nach meiner Löschung der Account dann noch gesperrt?

...zur Frage

Wieso klappt mein Musicload Login einfach nicht?

Ich habe ein Problem beim Einloggen auf musicload.de Ich gehe ganz normal auf den Button "Login", dann gebe ich meine Daten ein und dann kommt ein Feld, bei dem man angeben muss, ob man bereits einen Account hat oder nicht. Klicke ich auf "Ja", kommt wieder die Login-Seite. Das wiederholt sich permanent :/ Was läuft da falsch?

Ich versteh's nicht.... Vor ca. 1 Jahr, hatte ich mir über den Account ein Album gekauft. An den Login-Daten hat sich nichts geändert....

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen