Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe lang duurt een RaboMobiel session?

18-04-2012, 16:05 door Anoniem, 2 reacties
Als ik mijn browser afsluit zou een inlog-sessie bij de RaboMobiel automatisch beëindigd moeten worden; toch?
Dit is niet zo.
Wanneer ik met mijn mobiel bij de RaboMobiel ben ingelogd, de browser afsluit, (zonder uit te loggen) opnieuw de browser opstart en in de history mijn laatste URL weer opstart komt netjes mijn RaboMobiel inlog-sessie weer tevoorschijn. Vreemd.
Ik kan ook een url van de ene naar de onder machine over getypen en voilà; 1 sessie op twee fysiek verschillende machine's. Nog gekker.

Het zit 'm in de URL. Daarin staat een session-id vermeld en dat is blijkbaar genoeg om de sessie over te nemen.

Dit is een voorbeeld van een url.
https://waprmb.rabobank.nl/i/bankieren/saldoinfo.do;jsessionid=0000-_rh4qwERTY_er8kkemLL1L:-1

Om op de titel terug te komen.
Tot je weer uitlogt.

Piet Breg
Reacties (2)
18-04-2012, 16:59 door Anoniem
Voor zover ik weet geef je met je mobiel een uniek id door (telefoonnummer denk ik) aan de RaboMobiel website, waardoor je vanzelf ingelogd wordt.
Probeer het ook eens als je via wifi naar de rabomobiel site gaat. Je zult dan een smsje krijgen met daarin een link die alleen voor die sessie geldig is, omdat RaboMobiel het id wat het via 3G meekrijgt, niet meer meekrijgt.
Lukt het je dan ook nog om de browser te sluiten en vervolgens weer je oude sessie te hervatten?
18-04-2012, 20:51 door Anoniem
Geen probleem. Het gaat overigens niet via smsjes. Gewoon hun website via een mobiele telefoon. Zij checken mijn gebruikersagent en alles gaat normaal.
Bij safari zit een optie om een andere gebruikersagent in te stellen. Daar kies ik b.v. IOS 4.3.3 IPad en dat werkt ook.
De sessionid kan ik ook gewoon doorgeven aan een andere machine; Zolang ik niet uitlog tenminste of de session-tijd laat verlopen.

Piet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.