Anzeige

Am Puls von Microsoft

Anzeige

Artikel: Sicherheitslücke bei outlook.com - Einsicht in fremde Accounts möglich

Anzeige
Jetzt mal ganz dumm gefragt: Ist das nicht bei allen Mailsystemen so? Wenn ich das Cookie abgreifen kann, kann ich mich beim Server identifizieren. Eine andere Methode ist mir bei "verbindungslosen Verbindungen" nicht bekannt.
 
Für Logins wird üblicherweise ein Session Cookie verwendet, welches mit dem Abmelden wieder gelöscht wird. Für den Fall, dass man sich nicht abmeldet, sondern den Browser einfach schließt (sind wir ehrlich - meistens wird es so gemacht), gibt es in den allermeisten Fällen einen Session-Timeout, nach dem dieses Cookie ungültig wird.
Genau das scheint aber hier nicht der Fall zu sein, dieses Cookie bleibt gültig.
 
Anzeige
Oben