In letzter Zeit habe ich mir Gedanken gemacht, wie ich bei einem Login Script das Session Hijacking erschweren kann, folgender Gedanke kreiste hierbei in meinem Kopf:
Neben einer gestarteten Session wird noch ein Cookie gesetzt (wenn Login erfolgreich), das Dokument überprüft dann die Gültigkeit der Session und auch des Cookies und gestattet dann einem bei Korrektheit den Zugriff auf den geschützten Bereich.
Wenn jetzt jemand erfolgreich eine gültige Session ID "gekappert" hat, erlangt doch dieser dann kein Zugriff auf das Dokument, da ihm das gültige Cookie fehlt, was nur gesetzt wird wenn die Nutzername + Passwort abfrage mit Erfolg verlaufen ist.
Edit: Um zu verdeutlichen was ich vorhabe, hier eine vereinfachte Darstellung:
Nun zu meiner Frage, erschwert diese Maßnahme den Zugriff wirklich oder habe ich was übersehen/nicht bedacht so das ich hier einen Rohrbruch mit einer Packung Tempos zu verhindern versuche?
Neben einer gestarteten Session wird noch ein Cookie gesetzt (wenn Login erfolgreich), das Dokument überprüft dann die Gültigkeit der Session und auch des Cookies und gestattet dann einem bei Korrektheit den Zugriff auf den geschützten Bereich.
Wenn jetzt jemand erfolgreich eine gültige Session ID "gekappert" hat, erlangt doch dieser dann kein Zugriff auf das Dokument, da ihm das gültige Cookie fehlt, was nur gesetzt wird wenn die Nutzername + Passwort abfrage mit Erfolg verlaufen ist.
Edit: Um zu verdeutlichen was ich vorhabe, hier eine vereinfachte Darstellung:
Code:
Wenn Login erfolgreich -> Session & Cookie setzen -> Wenn Session & Cookie gesetzt und gültig -> Zugriff auf geschütztes Dokument - anderenfalls Fehlschlag.
Nun zu meiner Frage, erschwert diese Maßnahme den Zugriff wirklich oder habe ich was übersehen/nicht bedacht so das ich hier einen Rohrbruch mit einer Packung Tempos zu verhindern versuche?
Zuletzt bearbeitet: