Hello,

Wenn ich das Session-Token stehlen kann, kann mir deine Login-Sicherheit egal sein.

Session ID wird ständig gewechselt.

Das hört spätestens dann auf, lustig zu sein, wenn man mit AJAX arbeitet und manche Requests etwas länger unterwegs sind.

Besser ist es tatsächlich, verschlüsselt zu arbeiten und ein zweites Credential mitzuführen (Extra-Cookie). Dann kann man, auch wenn eine Session zufällig|absichtlich getroffen wird, immer noch erkennen, dass etwas nicht stimmt. Da der Cookie in der Payload liegt, ist er vor dem Zugriff unterwegs sicher. Und die Wahrscheinlichkeit, dass man zeitnah auch den Cookie errät passend zum Session-Token ist tatsächlich sehr unwahrscheinlich, da der namensraum der Session alleine dem Affektierten User gehört, also keine Streudichte berücksichtigt werden muss.

Bei Verschlüsselung, Session-Tokens und Extra-Cookie zählt also in der Hauptsache immer die Zeit und dann der Weertebereich und die Anzahl erlaubter Versuche.

Liebe Grüße
Tom S.