Zitat:
Bei Session sicher/unsicher gehts ja auch "nur" um Session Hijacking z.B.
|
Sofern man die sessionid nicht erraten kann ... und einen ip-abgleich macht sollte es nicht möglich sein ich übergebe keine sessionid und vergleiche die beim login gespeicherte ip mit der aktuellen ip (die mit der session verknüpft ist) Und erhoffe mir natürlich so ein höchstmögliches maß an sicherheit für die sessions aber ausgeschlossen ist es ja nie. (trojaner auf dem rechner (session cookie auslesen?) )
Zitat:
Aber durch deine prevention könntest du auch erst angriffe möglich machen.
|
Oder angreifer auf mich aufmerksam machen.. ja ist mir bewust.
Hast du eventuell sogar ein beispiel? (welche lücken du geschlossen hast und damit welche geöfnet zb.)
lg
R4Zz0R