Benutzer 1 startet einen Browser, verbindet sich über SSO mit dem Forum, arbeitet eine Weile und schließt dann den Browser.
Benutzer 2 startet auf demselben Gerät einen Browser und meldet sich erneut über SSO beim Forum an. Der Prozess führt ihn durch die vollständige Anmeldung mit seinen Zugangsdaten, doch wenn er das Forum betritt, ist er als Benutzer 1 angemeldet.
Discourse erlaubt es, die Sitzungszeitüberschreitung auf mindestens eine Stunde einzustellen. Das bedeutet, dass der Benutzer innerhalb einer Stunde zum PC zurückkehren, sich einfach anmelden und über die Cookies die Identität des vorherigen Benutzers übernehmen kann.
2016 gab es eine Korrektur, die bewirken sollte, dass die Cookies beim Schließen des Browserfensters ungültig werden, diese wurde jedoch wieder zurückgenommen.
Dies macht die Software in Umgebungen, in denen mehrere Personen denselben Arbeitsplatzrechner nutzen, sehr unsicher, sofern der Browser nicht im privaten Modus konfiguriert ist.
Sie können den Code aus dem oben genannten Commit, der zurückgenommen wurde, überprüfen und ihn an Ihre Bedürfnisse angepasst in ein Plugin übertragen.
Sie können auch eine Abmeldungsintegration in Ihr SSO-System einbauen, sodass beim Abmelden eines Benutzers Discourse aufgerufen wird, um alle bestehenden Sitzungen desselben Benutzers zu beenden.
Und nein, dies wird nicht als Sicherheitslücke betrachtet.