Moin!

Das soll heißen, dass man gerade aktive Session-Schlüssel erraten kann.

Das bezweifle ich doch extrem! Zumindest was den Standardmechanismus für PHP angeht.

Das geht besonders gut, wenn Schlüssel aufgrund der Vergabeverfahrens mit Hilfe der Zeitkomponente erteilt werden. Dann vermindert sich nämlich der verfügbare Schlüsselvorrat auf eine sehr überschaubare Zahl.

Die zeitliche Komponente sorgt aber, vor allem dann, wenn man sehr genau mißt, für eine gute Zufallskomponente, insbesondere wenn man danach Hashverfahren wie MD5 nachschaltet und noch ein paar weitere Daten mit einfließen läßt. Damit ist aus der selbst erhaltenen Session-ID keinerlei Rückschluß auf die dabei eingeflossene Zeit und auch nicht auf mögliche Nachbarsessions möglich.

Ansonsten darfst du gerne einen Beispielangriff demonstrieren.

Daher sollte man für ein vernünftiges Session-Management immer ZWEI Schlüssel erteilen, die beide vorhanden sein müssen. Damit reduziert sich die Trefferwahrscheinlichkeit erheblich.

Jetzt kommt dieser Unsinn wieder.

Wie wahrscheinlich bekannt sein sollte, realisieren sich Sessions durch die Nutzung einer Session-ID, damit der Server den Nutzer wiedererkennt. Was sollen dann ZWEI Session-IDs qualitativ bringen? Wenn dir die Länge der einen Session-ID nicht gefällt, dann integriere einen eigenen Mechanismus, der dir längere IDs generiert. Ist mit PHP recht problemlos möglich, einfach session_id() mit der neuen ID aufrufen, bevor session_start() aufgerufen wird.

Denn wo wäre der Unterschied, ob man den URL-Parameter ?sess1=xxxxxxx&sess2=yyyyyyy erraten muß, oder ?sess=xxxxxxxyyyyyyy - die Zahl der korrekt zu erratenden Zeichen ist gleich.

Deine Forderung nach "zwei" bringt qualitativ also nichts, es bringt nur quantitativ etwas - es steigert die Suchdauer von "hundert Universumsleben" auf "hundert Quadrillionen Universumsleben" - was in beiden Fällen extrem viel länger ist, als ein Menschenleben dauert.

Wenn dann auch noch jeder einzeln mehrfach vorhanden sein kann, erhöht das die "Intruder Detection Quote". Jeder realisierte "Fehlschuss", bei dem also nur einer der beiden Schlüssel getroffen wurde, veranlasst ein solches System, möglichst intelligent zu reagieren.

Du sprichst wirr. Erkläre dich. Eine Session-ID ist genau einmal vorhanden.

- Sven Rautenberg