Ich muss mir das mal in Ruhe besehen
Aber nicht über Weihnachten. Frohes Fest.
Wer noch nach Auslastung sucht: Morgen Nachher ist vielerorts Critical Mass. Wenn es nicht wie aus Eimern schüttet, werde ich das Festtagshäufchen in Berlin begleiten.
Plötzlich ausgeloggt
-
Nur zur Info: Wurde auch gerade rausgeschmissen (Firefox 43.0.2)
-
Um nochmal klarzustellen, was genau passiert:
Ausgangssituation: Mein Browser hat nen Cookie "wcf_cookieHash", der nur über https gesendet wird. Dank dieses Cookies bin ich eingeloggt.
Nun lade ich ein Bild, , über http (also kein https!).
Mein Browser schickt den Cookie nicht mit, denn das darf er ja nicht. Der Webserver denkt sich: Oh, der hat noch kein Cookie, schick ich mal einen neuen:CodeSet-Cookie: wcf_cookieHash=a73d8de528d632b998164ee4b6b36105eb458e4b; path=/; domain=www.radverkehrsforum.de; HttpOnlyDer Browser ersetzt nun den existierenden Cookie. Dieser wird dann auch über https gesendet.
Mit dem neuen Cookie bin ich aber nicht eingeloggt, also bin ich nun ausgeloggt.Beschrieben ist das Problem im Prinzip in RFC6265, Kapitel 8.6, Absätze 3 und 4.
Der einzige Schutz gegen so einen Angreifer dürfte in HTTP Strict Transport Security liegen. Das wäre auch ein Workaround gegen das hier vorliegende Problem.Die Browser verhalten sich korrekt. Das Problem ist einerseits das bekloppte HTT-Protokoll, andererseits ein Fehler in der Forensoftware: Aus irgendeinem Grund ist das Bild als http verlinkt, das sollte nicht passieren.
Abhilfe schnell: HTTP Strict Transport Security anschalten, http am Besten ganz wegschmeißen: Port im Apache deaktivieren oder Redirect auf https (wieder mit HSTS).
Und mal gucken ob ich das Problem nachstellen kann:
Einfach oben in der Toolbar auf "Bild" gehen und ein Link mit http einfügen, z. B. nachdem man einen Anhang hochgeladen hat.