hallo

Wie kann ich auf dem Server feststellen, dass Session-Tokens "durchgetickert" werden? Ist bei PHP und dem inzwischen erheblich erhöhten Wertebeeich von Session-Tokens unwahrscheinlich, dass jemand trifft, aber es ist nicht unmöglich!

Ich habe auf einer Seite for einem Jahrzehnt einen One-Time-Key verwendet. Wurde ein veralteter Key wiederverwendet, wurde eine Session gekillt. Ein Diebstahl einer Session war also nur möglich in dem seltenen Fall, wo exakt das letzte aktive Token vom Angreifer zuerst benutzt wurde, und der Angegriffene selber nie mehr sein Token angesendet hat. Eigentlich ist der wichtige Punkt: welche Konsequenzen haben gescheiterte Challanges.