2024-05-16T10:39:04 bianca

Und was ist daran neue Erkenntnis?

Daß der Zustand einer Anmeldung bestenfalls nur emuliert werden kann. Selbst dann, wenn einer Session ein Authentifikations-Request vorausging, hat die Session zu dieser Authentifikation gar keinen Bezug und so wird bei Folgerequests lediglich geprüft ob die Session noch dieselbe ist.

D.h., daß von der Sache her eine Session an sich gar nicht sicher sein kann.

Es gibt jedoch Möglichkeiten eine Session sicher zu machen. Z.B. mit einem Token der nicht nur eine zufällig erzeugte Zeichenfolge sonderen auch Teile oder die gesamte Benutzerkennung (Name+Passwort) mit sich führt. Was eine Authentifikation bei jedem Request ermöglicht.

Und ja, man kann auch von selbst darauf kommen ;)