Hello,

Das soll heißen, dass man gerade aktive Session-Schlüssel erraten kann.

Das bezweifle ich doch extrem! Zumindest was den Standardmechanismus für PHP angeht.

Das erstaunt mich nun wiederum!
Du weißt doch schließlich um die Fachausdrücke, oder?
Hier liegt "Erratbarkeit" vor.

Das bedeutet im Klartext, dass beim zufälligen oder absichtlichen Treffen eines Schlüssels durch einen Unbefugten keine weitere Erkennung vorliegt.

Das geht besonders gut, wenn Schlüssel aufgrund der Vergabeverfahrens mit Hilfe der Zeitkomponente erteilt werden. Dann vermindert sich nämlich der verfügbare Schlüsselvorrat auf eine sehr überschaubare Zahl.

Die zeitliche Komponente sorgt aber, vor allem dann, wenn man sehr genau mißt, für eine gute Zufallskomponente, insbesondere wenn man danach Hashverfahren wie MD5 nachschaltet und noch ein paar weitere Daten mit einfließen läßt. Damit ist aus der selbst erhaltenen Session-ID keinerlei Rückschluß auf die dabei eingeflossene Zeit und auch nicht auf mögliche Nachbarsessions möglich.

Zusätzliche "Wiederverwirrspiele" können einen eingeschränkten Schlüselvorrat tatsächlich fast auf ihren eigenen vollen Umfang (also den Schlüsselvorrat des Verwirrspiels) abbilden, aber nicht wieder auf den ursprünglichen spreizen. Außerdem ist das Verfahren bekannt und damit von dem ursprünglichen eigeschränkten Vorrat jederzeit replizierbar nachvollziehbar.

Bitte denke nochmals nach. Das ist einfachste Mengenlehre.

Ansonsten darfst du gerne einen Beispielangriff demonstrieren.

Das ist doch eher rhetorisch von Dir und damit äußerst unfair, da Du doch weißt, dass ich sowas niemals demonstrieren würde

Daher sollte man für ein vernünftiges Session-Management immer ZWEI Schlüssel erteilen, die beide vorhanden sein müssen. Damit reduziert sich die Trefferwahrscheinlichkeit erheblich.

Jetzt kommt dieser Unsinn wieder.

Ich werde Dir anstelle eines Beispielangriffes lieber ein paasr etablierte Mathematiker liefern, die Dir meine Überlegungen bestätigen werden. So langsam reichts mir nämlich mit Dir ;-))
Also werde ich's jetzt langsam mal in Angriff nehmen und die Unis beballern...

Wie wahrscheinlich bekannt sein sollte, realisieren sich Sessions durch die Nutzung einer Session-ID, damit der Server den Nutzer wiedererkennt. Was sollen dann ZWEI Session-IDs qualitativ bringen?

Hatte ichj eigentlich erklärt, welchen Unterschied zwei Schlüssel gegenüber einem haben.
Jeder einzelne Schlüssel ist für sich dabei mehrfach nutzbar, das Pärchen ist unique. Nur mit Pärchen ist Authentizität anzunehmen. Identifikation liefert schon jeder Schlüssel für seinen Bereich einzeln.

Wenn dir die Länge der einen Session-ID nicht gefällt, dann integriere einen eigenen Mechanismus, der dir längere IDs generiert. Ist mit PHP recht problemlos möglich, einfach session_id() mit der neuen ID aufrufen, bevor session_start() aufgerufen wird.

Denn wo wäre der Unterschied, ob man den URL-Parameter ?sess1=xxxxxxx&sess2=yyyyyyy erraten muß, oder ?sess=xxxxxxxyyyyyyy - die Zahl der korrekt zu erratenden Zeichen ist gleich.

Deine Forderung nach "zwei" bringt qualitativ also nichts, es bringt nur quantitativ etwas - es steigert die Suchdauer von "hundert Universumsleben" auf "hundert Quadrillionen Universumsleben" - was in beiden Fällen extrem viel länger ist, als ein Menschenleben dauert.

Du hast hier einige Mechanismen und die Logik dahinter scheinbar noch nicht verstanden.
Wir haben oft genug darüber diskutiert. Ein Sessionverfahren ohne Prüfverfahren ist (zumindest theoretisch) ein offenes Scheunentor. Es mag zutreffen, dass ich auf meinem 486/DX266 in angemessener Zeit mit einem guten Assemblerprogramm keinen vernünftigen Schlüssel finden werde, also einen, der passt, aber wer hat denn heute noch solche Geräte im Einsatz?

Der Einzige Schutz, der hier besteht, ist die eingeschränkte Response-Time (also die relativ lange) gepaart mit der verfügbaren Bandbreite der Netze, die heute existieren.

Du sprichst wirr.

Das gebe ich zurück, was ich gerade bei Die sehr bedaure :-)

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau