Hallo,

ich habe eine sehr spezielle Frage, auf die ich in diesem Archiv trotz
Recherche keine Antwort finden konnte:

Hab ich ein Problem, wenn ich Daten mit HTTP über SSL (mit 128 bit)
verschlüssele, aber eine Session-ID mit URL-Rewriting einsetze, welche ja
in der URL prinzipiell lesbar ist (Referer,zwischengeschaltete Server,etc.)?

Etwas konkreter:

Reicht es aus, während der Gültigkeitsdauer der Session-ID, diese
mitzuschneiden und wieder einzuspielen, um in die Sitzung einzubrechen, und
sich als der ursprüngliche Nutzer auszugeben ? Oder greift hier auch noch
die SSL-Verschlüsselung zwischen Client und Server - diese Kommunikation
habe ich ja damit nicht gebrochen, oder ?

Sprich, bewirke ich durch Erzeugen von neuen Datenpaketen und der so
"gewonnenen" Session-ID sinnvolle Daten oder aufgrund der
HTTPS-Verschlüsselung nur Datenmüll ?

Vielen Dank für sachdienliche Hinweise und vieleicht eine möglichst genaue
Erklärung. Wo kann ich "offizielle" Informationen hierzu nachlesen ?

PS: Hoffentlich fühlt sich keiner genervt, das hier vieleicht ein 0815-Thema
hinterfragt wird.

Gruß Uli