Thread Ist eine Session überhaupt sicher? (101 answers)
Opened by rosti at 2024-05-14 18:02

GwenDragon
 2024-05-14 18:17
#196209 #196209
User since
2005-01-17
14748 Artikel
Admin1
[Homepage]
user image
Meiner Meinung nach: das Token besagt ja nur, dass sich jemand mal (jetzt, vor einiger Zeit, vor langer Zeit) mit Username und Passwort authentifiziert hatte.
Ob das wirklich die Person war, kann nur durch einen weiteren Faktor (2FA) bewerkstelligt werden (Authentifizierungs-App, Hardware-Key).

Das üblich nach Username+Passwort eine Session-ID (Token?) zu erzeugen und per Cookie oder CGI-Parameter mit zu schleppen, ist verführerisch, aber das Token bleibt solange gültig, bis der Server abbrennt, der PC verschrottet wird – je nachdem ob ein Token abläuft.
Zudem sind die Tokens ja so nicht gesperrt, falls jemand mal eben Pause macht, ein extra Hardware-Key, der abgezogen wird, macht es sicherer.

Oder interpretiere ich deine Frage nicht richtg?
Last edited: 2024-05-14 18:34:38 +0200 (CEST)

View full thread Ist eine Session überhaupt sicher?