Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 11.940
Um Session Hijacking entgegenzuwirken, braucht es Sicherheitsmaßnahmen in anderer Richtung. Weil ja damit bereits 2FA-authentifizierte Sessions direkt übernommen werden können.
Einerseits ist in diesem Punkt einfach derjenige Benutzer, der z.B. auf Spam, Phishing, usw. hereinfällt und auf irgendwelche Links klickt, die Schwachstelle. Da bedarf es einfach einer gewissen Schulung und dem Wissen, dass man als Nutzer auch selbst eine Schwachstelle sein kann, die von Dritten ausgenutzt wird.
Andererseits begünstigen Sicherheitslücken Session Hijacking. In diesem Zusammenhang sei z.B. XSS genannt. Hier muss man vor allem an der Browsersicherheit und Konfiguration ansetzen.
Übrigens bedeutet Session Hijacking nicht, dass damit ein System, von dem aus dies erfolgte, frei von Malware ist. Denn dieses Hijacking erfolgt in der Praxis auch durch auf Systemen platzierte Schädlinge.
Es gibt also verschiedene Wege, eine bereits 2FA-authentifizierte Session zu übernehmen. Ein Schutzkonzept muss von vornherein all diese Wege berücksichtigen. Sonst bleiben immer sehr große Sicherheitsrisiken und gleichzeitig auch deutlich höhere Chancen für Dritte, Zugriffe auf alle möglichen Accounts zu erhalten.
Einige Ansätze dazu hatte ich neulich beispielsweise in diesem Beitrag festgehalten:
https://www.computerbase.de/forum/threads/gmx-account-weg.2086144/page-4#post-28444304
Einerseits ist in diesem Punkt einfach derjenige Benutzer, der z.B. auf Spam, Phishing, usw. hereinfällt und auf irgendwelche Links klickt, die Schwachstelle. Da bedarf es einfach einer gewissen Schulung und dem Wissen, dass man als Nutzer auch selbst eine Schwachstelle sein kann, die von Dritten ausgenutzt wird.
Andererseits begünstigen Sicherheitslücken Session Hijacking. In diesem Zusammenhang sei z.B. XSS genannt. Hier muss man vor allem an der Browsersicherheit und Konfiguration ansetzen.
Übrigens bedeutet Session Hijacking nicht, dass damit ein System, von dem aus dies erfolgte, frei von Malware ist. Denn dieses Hijacking erfolgt in der Praxis auch durch auf Systemen platzierte Schädlinge.
Es gibt also verschiedene Wege, eine bereits 2FA-authentifizierte Session zu übernehmen. Ein Schutzkonzept muss von vornherein all diese Wege berücksichtigen. Sonst bleiben immer sehr große Sicherheitsrisiken und gleichzeitig auch deutlich höhere Chancen für Dritte, Zugriffe auf alle möglichen Accounts zu erhalten.
Einige Ansätze dazu hatte ich neulich beispielsweise in diesem Beitrag festgehalten:
https://www.computerbase.de/forum/threads/gmx-account-weg.2086144/page-4#post-28444304
