Naja die Token Methode gibt auch net viel Schutz sie verhindert leglich das sich 2 User zur selben Zeit einlogen können.
Wenn aber der Angreiffer das letzte Aktuelle cookie ausliest und der eigentlicher User ist danach offline. So hätte der Angreiffer dann Zugang so lang eben bis der eigentliche User wieder online geht.
Der eigentlich User würde dann feststellen das er nicht mehr eingelogt ist und müsse sich neu Einlogen. Wenn das bassiert wurde er damit den Angreifer rauswerfen. Wenn der eh net bis dahin schon das Pw geändert hat.
Das ist ähnlich so wie bei den Multiacount diese zu entarnen ist schwierieg.
Grundregel gilt je mehr du Prüft um so sicherer wird das ganze werden.
Mögliche Maßnahmen die mir spontan dazu mal einfallen:
1.) Token Methode speichern in Db und cookie
2.) Betriebsystem check version und nummer unsw. speichern in Db bei Autologin prüfen
3.) Browser check type version unsw in Db Speichern bei Autologin prüfen
4.) IP check fraglich bei fixen IP were das Möglich am besten user auswählen lassen
Mfg Splasch
DataGrid Virtualisierung - Komischer Fehler beim scrollen
