Hallo Sven!

Es freut mich, einen kritischen Ansprechpartner zu haben. Aber ...

Warum? Benutzername und Passwort sind auch statisch - wer das kennt, kommt rein

Da ist klar. Ich gehe mal davon aus, dass Benutzer ihre Passwörter nicht mit einem PostIt am Bildschirm hinterlassen. Mir geht es eher um alle anderen Fälle.

Wenn man dem Server als Angreifer den richtigen String schickt, wird dieser Informationen rausrücken.

Darum gehts mir. Sitzt ein Böser zwischen Client und Server, kann er entweder die aktuelle verschlüsselte Session-Id abfangen und sogar an den Server weiterschicken. Er erhält dann auch eine Antwort - kann aber mit der neue Session-Id nix anfangen, da er ja nicht weiß, wie diese korrekt zu verschlüsseln wäre.

Das hilft dir alles nichts, wenn du unverschlüsselt arbeitest.

Das ist die leichteste Übung - ich brauch ja nur https zu verwenden. Ich möchte aber die ganze Logik möglichst sicher haben, bevor ich das ganze auch noch verschlüssle.

Aber die Frage mal andersrum: Kann ich mir den ganzen Schmarrn sparen, wenn ich NUR https verwende und einfach in jedem Request Benutzername und Passwort mitschicke?

lg

norbert =:-)