Hallo Stephan,

ist es nicht so, dass die "Sicherheit" der Session-IDs umgekehrt proportional zur Anzahl der "gleichzeitigen" Benutzer auf dem System ist?

Wenn nur ein Benutzer arbeitet, dann wird es wohl tatsächlich schwer sein, die eine gültige Session-ID aus dem Vorrat zur erraten. Was ist aber, wenn es schon 3000 Benutzer sind, die Sessions unterhalten?

Ok, ok, das werden nicht alles Hacker sein. Reicht ja aber, wenn _einer_ darunter ist, der mit einem Programm Session-Roulette spielt.

Ich würde in den Seiten zusätzliche Sicherheiten verstecken, die zusammen mit der Session-ID für Identifikation sorgen und vor allem öfter mal wechseln.

Man könnte ja auch serverseitig den Traffic mit einer IP für eine Weile ablehnen, wenn von dort z.B. mehr als 5 Fehlversuche innerhalb einer Zeitspanne von 10 Minuten gekommen sind. Wie würdest Du denn sowas implementieren? IP und Timestamp in eine Error-Tabelle und einfach ein Query, wieviel Datensätze in den letzten 10 Min. dort aufgelaufen sind?

Die ganzen ID-Verfahren (Passworte gehören auch dazu) haben doch nur Sinn, wenn man die Zeitdimension berücksichtigt!

Sollte sich zu diesem Thema noch was ergeben, bin ich sehr interessiert, es zu erfahren. Ich arbeite gerade selber an einem Loginverfahren, dass "nöglichst sicher" und bequem für den Nutzer werden soll. Die Irrläufer stapeln sich hier schon. Nicht jede Idee war gut.

Grüße aus http://www.braunschweig.de

Tom