Hallo!

Es wurde vermutet, daß Proxyserver möglicherweise einen Zeitstempel irgendwo reinsetzen könnten. Wäre dann nicht gut für die Funktionalität, und Benutzer könnten darauf möglicherweise keinerlei Einfluß haben, weil sie den Proxy zwingend benutzen müssen.

Wie gesagt: Man kann Session-IDs raten. Man kann Username/Paßwort raten. Wer ungestört andere eine Million mal raten läßt, ist selber Schuld. Bei der nur vierstelligen Geldautomaten-PIN hat man drei Versuche bei 10.000 Möglichkeiten. Es wäre kein Beinbruch, bei 10^38 Session-IDs einfach 10 Rateversuche zu erlauben, und danach die Kommunikation einzustellen. Hattest du ja aber schon selbst gefordert. Ich denke nicht, daß zusätzliche Merkmalsprüfung die Sicherheit wirklich qualitativ erhöht - sie erhöht den Rateaufwand, weil mehr gesendete Informationen übereinstimmen müssen. Wer die Session-ID mittels Referrer auf seinen Server locken kann, kriegt grundsätzlich alle HTTP-Header des Browsers übermittelt und kann sie zum Angriff einsetzen - wo ist da die zusätzliche Sicherheit?

ich will das hier auc gar nicht mehr groß ausdehnen, aber Dein Tenor ist ja im prinzip - "Lasse alles wie es ist und bau ein paar Sicherungen ein, das man nicht so ohne weiters raten kann", oder?

Die Zusätzliche Sicherheit aus Timestamp etc. wäre doch einfach wenn man Cookies vorschreibt und diese Information darin speichert! Der Cookie wird wohl nirgendwo geloggt und um da dran zu kommen müßte man nicht nur an irgendwelche Logfiles kommen, sondern an einem der Rechner oder irgendwo dazwischen lauschen, was  meiner Meinung nach ein ganz erheblicher Unterschied ist! Auch das Codieren oder mit anderen Header Informationen anreichern bringt wohl nichts, denn nicht das erraten des Wertes im Cookie ist das problem(selbst wenn man das könnte), sondern wohl eher diesen Cookie nachzubauen, und das wird man nur schaffen, wenn man den Verkehr belauscht. Oder? Ist doch so das cookies durch irgendeinen Mechanismus nur an den einen Server geschickt werden, ich denke nicht das man sich so ohne weiteres einen eigenen Cookie basteln kann, oder?

Viele Grüße und Danke Euch beiden und vor allem Sven für die sehr hilfreichen und ausführlichen Antworten, und den ich auch gar nicht weiter nerven möchte :-)

Andreas