Hello,

Ich habe solche Fälle von Treffern bei ein paar großen Portalen. Die waren total entsetzt, dass die diese Möglichkeit nicht berücksichtigt hatten. Einer der affektierten User konnte aber beweisen, dass er den Scheiß nicht verzapft haben konnte. Und da haben sie angefangen müssen, zu suchen.

Ja aber hier haben wir es mit Kollisionsrisiken zu tun. Hashes sind nicht wirklich kollisionsresistent. Normalerweise verwendest du ja nicht nur ein sessiontoken sondern auch eine statische Information wie eine UserID, so dass zufällige Kollisionen ausgeschlossen werden können. Was dann bleibt ist der mutwillige Angriff nicht gegen den gesamten Pool offener Sessions, sondern gegen den sehr kleinen Pool offener Session-Tokens einer konkreten UserID.

Nee, anders herum. Die User-ID steht üblicherweise in der Session. Und wenn ich z. B. einen Link aufrufe "/bilder.anzeigen" dann bekomme ich alle Bilder, die der Session-Inhaber sehen darf und vermutlich darf ich dann auch etwas dazu schreiben oder die Bilder löschen, oder andere dazu hochladen.

Liebe Grüße
Tom S.