Halihallo Henryk

Wieso das? Wenn er die Session-ID ersniffen konnte, konnte er den Rest auch sehen. Das wurde kürzlich in de.comp.lang.php.netzprotokolle diskutiert. Message-ID 2205023.DmvXUDI8C0@malkusch.de und folgende. Ich habe jetzt keine Lust meine Argumente hier noch einmal zu wiederholen.

Korrekt was das ersniffen angeht. Wenn ich den Trick von Lude richtig deute geht es nicht
um das ersniffen, sondern um das erschweren einer Bruteforce-Attacke. Das das loggen
von Clientseitigen Daten keinen grossen Mehrwert bringt habe ich bereits gesagt.
Beim ersniffen bringt es keinen Mehrwert, bei Bruteforce schon, wobei dies, wie ich
eben schon gesagt habe, durch ein zusätzliches bit im Schlüssel ausgegelicht werden kann.
Zudem halte ich es allgemein für unglücklich die Sicherheit vom Client abhängig zu
machen (SSL ist hierbei die Ausnahme), da bin ich absolut deiner Meinung.

Ansonsten Full ACK.

Viele Grüsse

Philipp