Warum ist es "gefährlich", sich nicht auszuloggen (z.B. bei Paypal)?
Ich habe schon öfters gehört, man solle sich im Internet ausloggen, wenn man mit seinen Tätigkeiten fertig ist. Das betrifft sowohl Onlinebanking, als auch Email, Facebook und andere Internetseiten.
Was kann passieren, wenn man es nicht tut?
Konkret wundere ich mich wegen dem speziellen Fall Paypal: Es ist mir vor kurzem erst bewusst geworden, dass man bei Paypal eingeloggt bleibt, wenn man eine Zahlung über eine andere Seite durchführt. Wenn ich z.B. bei bwin oder ebay... per Paypal zahle (über das Popup-Fenster, ohne die Paypal-Hauptseite zu besuchen), bin ich anschließend bei Paypal noch immer eingeloggt. Dass man überhaupt noch eingeloggt ist, fällt nur auf, wenn man auf die Paypal-Seite geht.
6 Antworten
Das gehört einfach zum verantwortungsvollem Umgang mit dem Internet, besonders, wenn es um Zahlungsdienstleister wie PayPal (es gibt auch andere) oder Banken geht. Wenn jemand Deinen Account knackt, hat er gleich die Zugangsdaten für PayPal, wenn Du dort eingeloggt bist.
Aber wieso hat Paypal keine Vorrichtung, um nach einer Transaktion, die von einer Partner-Seite angestoßen wurde, den Log-Out durchzuführen? Ich vermute, dass die meisten Nutzer nicht einmal wissen, dass sie dann überhaupt eingeloggt sind.
Der einfachere Fall (Dritte haben Zugang zu dem PC) wurde ja schon erklärt.
Allerdings können auch Dritte mit vuel KnowHow von einen anderen PC irgendwo auf der Welt sich dann einloggen. Beim Anmelden wird eine Nummer (so genannte SID) vergeben, womit Du dich beim Seitenwechel im Portal als angemeldet ausweist. Diese Nummer wird mit dem Ausloggen ungültig. In der Zwischenzeit können Dritte diese SID "kapern". Das ist bei einer kurzen Gültigkeit sehr unwahrscheinlich. Loggst Du dich nicht aus, haben diese Dritten mehr Chancen.
Ich kenne nicht die genaue Implementierung bei PayPal. Es gibt ja durchaus Maßnahmen, mit der rund um die SID mehr Sicherheit schaffen kann (indem z. B. Browsertyp, Betriebssystem und noch ein paar Endgeräte-spezifische Dinge einfliessen).
Allerdings bist Du bei PayPal gar nicht wirklich eingeloggt, wenn der Zahlungsvorgang von einer Partnerseite ausgelöst wird. Das ist ein komplett separater Bereich und dürfte mit Einwegschlüsseln ähnlicher einer TAN, nachdem sich der Partner eingeloggt hat. Dementsprechend loggt sich der Partner auch aus. Der Login des Käufers ist dann nur ein Login in einem LogIlin. Der Käufer-Logout erfolgt dann impliziert.
Bedenke bitte, dass das alles extrem vereinfachte Darstellungen sind. Es gibt schließlich nicht umsonst Leute, die sich beruflich ausschließlich mit dieser Thematik auseinandersetzen.
"Konkret wundere ich mich wegen dem speziellen Fall Paypal: Es ist mir vor kurzem erst bewusst geworden, dass man bei Paypal eingeloggt bleibt, wenn man eine Zahlung über eine andere Seite durchführt."
Obiges gerade erst gesehen. Ich hatte das in der Vergangenheit mehrfach getestet und war nach dem Zahlungsvorgang nicht bei PayPal eingeloggt. Bei eBay wundert mich im Bezug auf PayPal nichts. PayPal gehörte ja bis Mitte 2015 zu eBay und die Vernetzung ist bis heute recht hoch. Allerdings würde ich solchen Tests nur trauen, wenn sie mindestens drei Verkaufspkattformen auftritt, die auch sich nicht auf die gleichen Zahlungstools zurückgreifen.
Ich hatte das selbst nur bei bwin getestet, aber auch in Foren davon gelesen, dass es so wäre. Warum reicht es dir nicht aus, wenn das Phänomen nur bei einem Paypal-Partner auftreten würde?
Weil das Problem bei der Implementierung des Partners liegen kann.
Einerseits weil eine Person an dein Gerät kommen könnte und dein Account nutzen könnte aber auch weil dann Cookies (Dateirn die von dem Server auf deinem Gerät gespeichert werden) gelöscht werden! In ihnen befinden sich auch Anmeldeinformationen die verhindern das du jedesmal dein Passwort eingeben musst wenn du zum Beispiel auf eine Unterseite wechselst.
Es gibt eine Reihe von möglichen Angriffen die das übernehmen der Session zum Ziel haben. Dazu muss nicht unbedingt ein physikalischer Zugriff auf den anzugreifenden Rechner bestehen, das ist auch über Cross-Site-Scripting möglich. Siehe auch https://de.wikipedia.org/wiki/Session_Hijacking
Dass die Session nach das Transaktion bei Paypal nicht invalidiert wird, wusste ich auch nicht.
Was passieren kann? Man kann manchmal (von Browser zu Browser unterschiedlich) die "Letze Sitzung" wiederherstellen, und dann würden sich die Tabs wieder öffnen und man wäre vllt immer noch eingeloggt. Wenn das an einem öffentlich zugänglichen PC passiert, kann diese Person mit deinem Geld auf dem Konto machen, was sie will
Wobei dieser Punkt nicht mehr greift, wenn man im Browser seine Zugangsdaten speichert.
Wie ist es denn zu erklären, dass man bei Paypal nicht ausgeloggt wird, und auch keine Möglichkeit dazu hat, wenn man von einer Partnerseite aus eine Finanztransaktion durchgeführt hat? Paypal müsste sich doch des Risikos bewusst sein!?