Hello,

Aus verschiedenen Umgebungsvariablen des Users mit einem Zufälligen Code des Servers gesaltet. Das ganze wieder über eine Hashfunktion geschickt. Das ganze wird bei jedem Session-Aufruf verifiziert. Sollte der Fingerprint nicht stimmen, wird die session sofort zerstört.

Klonk (das war der Groschen).

Der Salt steht nicht in der Session. In der Session steht nur der gehashte oder gecryptete Fingerprint. Ist schon ganz schön paranoid, aber scheinbar heutzutage notwendig. Ich werde da manchmal von Leuten (IHK, Verklagte) um Hilfe gebeten, denen man Missbrauch vorwirft und die es meistens nicht gewesen sind. Die Systeme müssen dann offengelegt werden, was die Betreiber aber ungern wollen. Damit sind die Verklagten dann meistens raus aus der Sache...

Ich sammele daher derartig "einfache" Angriffsmethoden. Die Entscheider (Chefs, Gerichte, auch "Sachverständige") sind da alle noch zu technikhörig/-blauäugig. Die glauben immer, alles sei sicher, nur weil sie Passworte regelmäßig wechseln.

Liebe Grüße
Tom S.