Hallo,

Bei jedem Request, bedeutet ja quasi, wenn der Angreifer zb. via Bruteforce doch mal eine gültige ID gefunden hat, die Seite aufruft und eine neue Session-ID bekommt. Wenn der eigentliche Benutzer dann aber auf einen Link klickt oder irgendwie sonst ein Request verursacht, wird er wohl ein Login-Formular zu Gesicht bekommen, sich neu einloggen, damit ist die gekaperte Session-ID auch wieder hinfällig […]

Wenn ich dich richtig verstehe, würde alleine das parallele Öffnen von Seiten derselben Domain in Tabs – aus Seite A werden B und C in zwei Tabs geöffnet – einen falschen Alarm erzeugen. C würde mit der Session-ID von A anstatt der von B angefordert werden würde, was deinem Model zufolge die Sessions zerstören würde.

Solch ein Vorgehen widerspricht Grundprinzipien von HTTP. HTTP kennt eben nativ keine synchronen Verbindungen bzw. Sitzungen, daher lässt sich die Anforderung, dass eine Ressource immer mit exakt dem Token aufgerufen werden muss, der im jeweils vorherigen Request übertragen wurde, schwer realisieren.

Mathias