Vom 27. Mai 2020
Eingestuft als unkritisch und behoben
Beschreibung der Entdeckung: Bei der Verwendung des Web-Clients bleiben die Nutzer auch nach Schließen des Browser-Tabs oder Schließen des Browsers eingeloggt und die Daten im Local Storage erhalten. Wenn sich ein Nutzer nicht ausloggt, kann sich ein unbeteiligter Dritter, der Zugriff auf den PC des Nutzers hat, durch erneutes Aufrufen des Browsers Zugriff auf die Daten im Local Storage des Browsers verschaffen.
Beurteilung Hersteller: Das Vorgehen beurteilt der Hersteller aufgrund des benötigten Zugriffs auf den PC des Nutzers als unkritisch, zudem ist der sich im Local Storage befindliche Private Key verschlüsselt. Um jedoch auch diese Szenarien abzudecken, enthalten die Web- und Desktop Clients ab der Version 3.10.0 im Bereich der Login-Ansicht eine zusätzliche Schaltfläche, über die der dauerhafte Login bestätigt werden muss. Dieses Feld ist nicht vorausgewählt und muss vom Benutzer pro-aktiv angewählt werden. Nur, wenn der Nutzer dieses Feld anwählt, bleibt er dauerhaft eingeloggt. Andernfalls wird er beim Schließen des Browser-Tabs, Beenden des Browsers oder Beenden des Desktop-Clients automatisch ausgeloggt und die Daten im Local Storage gelöscht. Durch eine unachtsame Nutzung des Web-Clients durch einen Nutzer ist der Erhalt der Session_ID für einen Dritten somit nicht mehr möglich.
