INTASTELLAR SOLUTIONSHelp Center
Versionv1

Glossar — Browser, Cookies & Speicher (Sign-in)

Wie Browser Cookies und Speicher handhaben, wirkt sich direkt auf Redirects, Popups und Sitzungen aus. Das ist Hilfetext, kein Ersatz für ein Sicherheitsaudit.

First-Party vs. Drittanbieter-Kontext

Bedeutung: First-Party — Cookie oder Speicher gehört zur Site, die der Nutzer sieht (Ihre Domain). Drittanbieter — gebunden an eine andere Domain (z. B. iframe oder Cross-Site-Request).

In der Praxis: Sign-in-Flows über Domains (Ihre Site ↔ IdP) reagieren empfindlich auf Drittanbieter-Cookie-Beschränkungen; First-Party-Redirects und Muster aus Sitzungen, Cookies und Tokens bevorzugen.

Bedeutung: Steuert, wann der Browser ein Cookie bei Cross-Site-Requests mitschickt — Werte wie Strict, Lax, None (oft mit Secure).

In der Praxis: Falsche SameSite-Werte verursachen stille Fehler nach Login oder bei Callbacks; in Anwendung → Cookies funktionierende vs. defekte Umgebungen vergleichen.

HttpOnly

Bedeutung: Cookie ist nicht aus JavaScript im Browser lesbar — reduziert XSS-Diebstahl von Session-Cookies bei Session-IDs.

In der Praxis: Wenn Ihre App Tokens im Speicher oder in nicht-HttpOnly-Speichern hält, unterscheidet sich das Bedrohungsmodell; Standards Ihres Security-Teams befolgen.

Secure-Flag

Bedeutung: Cookie wird nur über HTTPS gesendet.

In der Praxis: Für Produktions-Sign-in nötig; gemischte http/https-Callbacks brechen OAuth-ähnliche Flows.

Local Storage / Session Storage

Bedeutung: Origin-gebundene Schlüssel/Wert-Speicherung im Browser — überlebt Reloads (local) oder Tab-Sitzung (session).

In der Praxis: Refresh-Tokens oder langlebige Secrets hier nicht ablegen, sofern Ihr Bedrohungsmodell das nicht ausdrücklich erlaubt; viele Teams bevorzugen HttpOnly-Cookies oder serverseitige Sitzungen für risikoreiche Tokens.

Speicher-Partitionierung

Bedeutung: Browser isolieren Speicher zunehmend pro Top-Level-Site oder Frame, damit Dritte nicht einfach Kennungen cross-site teilen.

In der Praxis: Erklärt, warum iframes und eingebetteter Login schwerer sind als Top-Level-Redirects; Safari und Chrome mit echten Domains testen.

Auslauf von Drittanbieter-Cookies

Bedeutung: Browser schränken Drittanbieter-Cookies standardmäßig; manche Anbieter nutzen CHIPS, Related Website Sets oder andere Mechanismen.

In der Praxis: Auf dokumentierte Intastellar-Muster und First-Party-Redirects stützen — nicht auf Annahmen aus älteren OAuth-Tutorials.

Last updated