Cleartext Storage of Sensitive Information

CWE 312

Vom 27. Mai 2020

Eingestuft als unkritisch

 

Beschreibung der Entdeckung: Bei der Verwendung des Web-Clients bleiben die Nutzer auch nach Schlie√üen des Browser-Tabs oder Schlie√üen des Browsers eingeloggt und die Daten im Local Storage erhalten. Wenn sich ein Nutzer nicht ausloggt, kann sich ein unbeteiligter Dritter, der Zugriff auf den PC des Nutzers hat, durch erneutes Aufrufen des Browsers Zugriff auf die Daten im Local Storage des Browsers verschaffen. 

Beurteilung Hersteller: Das Vorgehen beurteilt der Hersteller aufgrund des ben√∂tigten Zugriffs auf den PC des Nutzers als unkritisch, zudem ist der sich im Local Storage befindliche Private Key verschl√ľsselt. Um jedoch auch diese Szenarien abzudecken, enthalten die Web- und Desktop Clients ab der Version 3.10.0 im Bereich der Login-Ansicht eine zus√§tzliche Schaltfl√§che, √ľber die der dauerhafte Login best√§tigt werden muss. Dieses Feld ist nicht vorausgew√§hlt und muss vom Benutzer pro-aktiv angew√§hlt werden. Nur, wenn der Nutzer dieses Feld anw√§hlt, bleibt er dauerhaft eingeloggt. Andernfalls wird er beim Schlie√üen des Browser-Tabs, Beenden des Browsers oder Beenden des Desktop-Clients automatisch ausgeloggt und die Daten im Local Storage gel√∂scht. Durch eine unachtsame Nutzung des Web-Clients durch einen Nutzer ist der Erhalt der Session_ID f√ľr einen Dritten somit nicht mehr m√∂glich.