Moin!

Du meinst *absichtlich*? Das wäre kein “Hijacking”.

Ich dachte da eher an eingeschleustes JavaScript oder Browserexploits.

Wenn man auf deiner Seite Javascript einschleusen kann, hast du ein viel größeres Problem als Session-Hijacking, nämlich Cross-Site-Scripting (XSS).

Und durchgehend hast du das Problem von Cross-Site-Request-Forgery zu lösen (CSRF).

Wenn du diese zwei Probleme angegangen bist, verbleibt von dem Session-Hijacking eigentlich nur noch das des schlechten Zufalls zum Generieren der Session-ID.

IP-Adresse (mit Vorsicht zu geniessen), Browser-Fingerprinting.

Ja aber wie molily meinte, können sich die Daten ja auch während der Session ändern.

Der Browser-Fingerprint eher nicht, die IP eher schon - aber das ist irrevelant, wenn du als Bedrohungsszenario "eingeschleustes Javascript" annimmst, denn bei sowas wird die originale IP und der originale Browser des Opfers benutzt - das kannst du nicht serverseitig erkennen.

Wenn du dir die OWASP Top 10 Liste von 2013 ansiehst, kriegst du ein Gefühl für die relevanten Probleme in Webapplikationen.

- Sven Rautenberg