1. Kurzbeschreibung
Nach dem Logout war die Abmeldung im Identitätssystem nicht vollständig genug. Dadurch konnten bereits ausgestellte Anmeldetokens in bestimmten Fällen noch bis zum Ablauf weiterverwendet werden.
2. Bewertung
- Risiko: Nutzer gehen von vollständiger Abmeldung aus, obwohl Zugriff über vorhandene Tokens noch möglich sein kann.
- Angriffsvektor: Gestohlene oder abgeflossene Tokens (z. B. über kompromittierte Clients, Logs, Proxy-Mitschnitte).
- Auswirkung: API-Aufrufe im Namen des Users bleiben bis Token-Ablauf möglich.
- Realistische Bedrohung: Relevant bei Token-Leak oder kompromittierten Endgeräten.
3. Lösung
Geplante oder umgesetzte technische Maßnahme:
Der Logout-Prozess wurde so angepasst, dass die Abmeldung beim zentralen Identity-Provider eindeutiger und vollständiger erfolgt.
Dabei werden beim Abmelden zusätzliche Identitätsinformationen mitgegeben, damit die Sitzung korrekt beendet und die Rückleitung nach Logout kontrolliert durchgeführt wird.
Konfigurationsdetails / Architekturänderung:
- Logout wurde auf einen standardkonformen „zentralen Logout“ umgestellt.
- Die bestehende Session wird beim Identity-Provider gezielt adressiert.
- Die Weiterleitung nach Logout ist eindeutig definiert und an die Anwendung gebunden.
- Die Anpassung ist umgesetzt und getestet.
4. Notizen
- Die Maßnahme reduziert das Risiko von „scheinbar ausgeloggten“ Sitzungen deutlich.
- Ein Restrisiko bleibt grundsätzlich bei bereits gestohlenen Tokens bis zu deren Ablauf.
- Ergänzend empfohlen:
- kurze Token-Laufzeiten
- konsequente Token-Widerrufsstrategie
- Monitoring auf missbräuchliche Token-Nutzung