Moin,

Hab ich ein Problem, wenn ich Daten mit HTTP über SSL (mit 128 bit)
verschlüssele, aber eine Session-ID mit URL-Rewriting einsetze, welche ja
in der URL prinzipiell lesbar ist (Referer,zwischengeschaltete Server,etc.)?

Wenn die Inhalte eine HTTPS-Verbindung auf Zwischenrechnern lesbar sind, hast du ohnehin ein Problem. ;-)
Generell schützt HTTPS aber die gesamte Verbindung, so dass niemand irgendetwas darin lesen kann, seien es nun die Dateninhalte oder die URLs. Wenn du nicht grade Windows einsetzt, was zur Zeit ein paar Probleme mit SSL-Zertifikaten hat (zumindest laut Microsoft ist das aktuelle IE-Problem was im Prinzip beliebiges Abhören von SSL-Verbindungen ermöglicht nämlich kein IE- sondern ein Betriebssystemproblem), brauchst du dir über die Sicherheit der Übertragung selbst eigentlich keine Gedanken zu machen, wenn es denn wirklich 128 Bit sind.

Problematisch wird es dann erst an den beiden Endpunkten: Kann jemand auf das Access-Log des Webservers mit den darin enthaltenen Session-IDs zugreifen? Oder gar auf den Speicher in dem die Sessiondaten gehalten werden? Ist der Rechner des Benutzers hinreichend vertrauenswürdig (keine Trojaner oder Keylogger), und wird die Session immer ordnungsgemäß gelöscht? (Das ist besonders wichtig, wenn andere Zugriff auf den selben Rechner haben und evt. in die URL-History schauen könnten.) Und natürlich sollte dein Angebot selbst keine direkten externen Links enthalten, sonst kommt der Referer wieder ins Spiel.

--
Henryk Plötz
Grüße von der Ostsee