Tach!

Wenn der Angreifer dem Opfer einen Link zuschickt, welcher eine dem Angreifer bekannte Session-ID enthält, und das Opfer dem Link folgt, weil er die Seite kennt und sich dort einloggen will, wird ohne Gegenmaßnahme durch das Opfer eine eingeloggte Session erzeugt, dessen ID dem Angreifer bekannt ist. Er kann dann also "mitsurfen".

Das setzt voraus, dass hotti in seinem Szenario die Session-ID über URL entgegennimmt. Dazu muss er aber eine gute Begründung haben. Wie zum Beispiel auch noch die letzten Kunden nicht zu vergraulen, die Cookies generell ablehnen. Ansonsten kann ihm dieses Szenario egal sein. Cookies vorsätzlich manipulieren geht zwar, aber das ist dann eine Sache desjenigen und kein von Dritten untergeschobener Angriff.

Es gibt dagegen diverse Maßnahmen, von denen das Austauschen der bisher genutzten Session-ID beim Login eine universell wirksame ist, denn diese Änderung bekommt nur der Browser mit, der gerade eben die Login-Daten abgeschickt hat - in der Regel ist das nur der Browser des Opfers.

regenerate_session_id() - sollte man nur nicht bei jedem Seitenaufruf machen, sonst hat es der Besucher beim Vor- und Zurücknavigieren schwerer als notwendig.

Man kann natürlich auch einfach konfigurieren, dass Session-IDs nur über Cookies akzeptiert werden.

Eben.

Das Unterschieben war auch das einzige Angriffsszenario, das mir einfiel, bei dem das Opfer nicht selbst schuld ist, das sich aber durch Only-Cookie vermeiden und durch session_regenerate_id() mildern oder verhindern lässt.

dedlfix.