Moin!

Um eben genau diese Zeit zwischen "User schließt Fenster ohne Logout" und "Session bekommt Timeout" nicht zu haben. Wenn dann nämlich jemand die Session-ID in den Fingern hält, kann er sich als derjenige Benutzer anmelden.

Ja und? Das kann jemand auch - oder gerade - auch in der Zeit, in der der Benutzer real auf der Seite herumsurft. Parallel-Logins von zwei verschiedenen Rechnern sind nicht ganz trivial zu verhindern, und sie nerven in der Regel den Benutzer auch mehr, als dass sie helfen würden.

Das Sicherheitsargument kann hier nicht ziehen. Durch die Session-ID ist ein Angreifer gezwungen, aus einer Auswahl von 2^32 genau EINE passende ID zu raten. Mit dem Timeout der Session hat er dafür sogar nur begrenzt Zeit.

Das bedeutet: Entweder diese Aufgabe ist wirklich nur durch Glück zu schaffen (ein Lottogewinn wäre milliardenmal wahrscheinlicher), oder der Angreifer kann den Datenverkehr belauschen und sich somit einen Vorteil verschaffen. Dann benötigt er aber in der Regel nicht mal die Session-ID, welche ja nur existiert, nachdem sich ein Benutzer angemeldet hat, sondern kann Username und Passwort abfangen und sich damit komfortabel JEDERZEIT einloggen.

Wenn derartige Sicherheitsbedenken dein Problem sind, solltest du dir vor allem anderen erstmal um die Einführung von SSL Gedanken machen. Das erhöht die Sicherheit WIRKLICH - der nicht realisierbare "Logout beim Verlassen" ist nur Kosmetik ohne reale Verbesserung der Sicherheit.

- Sven Rautenberg