bubble: Session hijacking - Cookies

Beitrag lesen

Wenn ich dich richtig verstehe, würde alleine das parallele Öffnen von Seiten derselben Domain in Tabs – aus Seite A werden B und C in zwei Tabs geöffnet – einen falschen Alarm erzeugen. C würde mit der Session-ID von A anstatt der von B angefordert werden würde, was deinem Model zufolge die Sessions zerstören würde.

Ja, das wäre der "böse Nebeneffekt". Wobei ich mir da nun auch nicht 100%ig sicher bin, ob das bei Cookies auch der Fall ist. Angenommen die ID-Änderung wäre ein bloßes Inkrementieren, öffnet Tab A, bekommt SID=1, öffnet von Tab B, bekommt SID=2, würde der Browser dann, wenn man von Tab A Tab C öffnet dann SID=1 schicken, weil es zu der Zeit ja SID=1 war, oder die aktuelle SID=2? (Das würde allerdings auch wieder spätestens dann schief laufen, wenn man nicht wartet bis Tab B geladen ist)

MfG
bubble

--
If "god" had intended us to drink beer, he would have given us stomachs. - David Daye