Cleartext Storage of Sensitive Information

CWE 312

Vom 27. Mai 2020

Eingestuft als unkritisch und behoben

 

Beschreibung der Entdeckung: Bei der Verwendung des Web-Clients bleiben die Nutzer auch nach Schließen des Browser-Tabs oder Schließen des Browsers eingeloggt und die Daten im Local Storage erhalten. Wenn sich ein Nutzer nicht ausloggt, kann sich ein unbeteiligter Dritter, der Zugriff auf den PC des Nutzers hat, durch erneutes Aufrufen des Browsers Zugriff auf die Daten im Local Storage des Browsers verschaffen. 

Beurteilung Hersteller: Das Vorgehen beurteilt der Hersteller aufgrund des benötigten Zugriffs auf den PC des Nutzers als unkritisch, zudem ist der sich im Local Storage befindliche Private Key verschlüsselt. Um jedoch auch diese Szenarien abzudecken, enthalten die Web- und Desktop Clients ab der Version 3.10.0 im Bereich der Login-Ansicht eine zusätzliche Schaltfläche, über die der dauerhafte Login bestätigt werden muss. Dieses Feld ist nicht vorausgewählt und muss vom Benutzer pro-aktiv angewählt werden. Nur, wenn der Nutzer dieses Feld anwählt, bleibt er dauerhaft eingeloggt. Andernfalls wird er beim Schließen des Browser-Tabs, Beenden des Browsers oder Beenden des Desktop-Clients automatisch ausgeloggt und die Daten im Local Storage gelöscht. Durch eine unachtsame Nutzung des Web-Clients durch einen Nutzer ist der Erhalt der Session_ID für einen Dritten somit nicht mehr möglich.

Ihr Datenschutz ist uns wichtig: Standardmäßig erheben wir keine Analyse-Daten Ihres Besuchs! Um unsere Webseite jedoch fortlaufend verbessern zu können, tracken wir anynomisierte Daten der Webseitennutzung, sollten Sie damit Einverstanden sein. Sie können die Einstellungen zur Verwendung von Cookies jederzeit im Fußbereich der Webseite ändern. Näheres hierzu entnehmen Sie bitte unserer Datenschutzerklärung.

Privatsphäre-Einstellungen

Wählen Sie aus, zu welchem Zweck diese Website Cookies verwenden darf:

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

NICHT gestattete Funktionalität

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

NICHT gestattete Funktionalität

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen