> Tommi Mäkitalo <[email protected]> hat am 27. September 2013 um 00:28 > geschrieben: [...] > > Ah, Das ist sehr hilfreich! Danke für den Tipp. Leider zählt die Funktion > > zu denen die nicht (mit Doxygen) dokumentiert sind > > (http://www.tntnet.org/apidoc/html/classtnt_1_1_http_request.html) > > Ich werde die Serial aber mit dem random token kombinieren, sonst ist > > der Token zu leicht zu erraten. > Warum sollte man ihn nicht erraten können? Mit rand() erzeugst Du eine > Pseudosicherheit. Wenn man Sessionhighjacking verhindern will, dann muss > man SSL verwenden. Alles andere ist schlichtweg falsch verstandene > Sicherheit.
So wie ich das Angriffsszenario verstanden habe, lässt der Angreifer den angegriffenen im Browser eine präparierte URL öffnen die ein request auf ein Formular macht. Hat der Browser noch eine gültige Session, wird der Request über die noch stehende ssl geschickt. Der Angreifer Sitzt also nicht zwischen Client und Server und lauscht mit, sondern lässt den offenen Browser seine Request senden. Wenn er dann irgend wie herausfindet wir der letzte Token hieß, kann erraten werden wie der nächste Token heißen könnte. Gruß Olaf -------------------|-------------------|-------------------|-------------------| ------------------------------------------------------------------------------ October Webinars: Code for Performance Free Intel webinars can help you accelerate application performance. Explore tips for MPI, OpenMP, advanced profiling, and more. Get the most from the latest Intel processors and coprocessors. See abstracts and register > http://pubads.g.doubleclick.net/gampad/clk?id=60133471&iu=/4140/ostg.clktrk _______________________________________________ Tntnet-general mailing list [email protected] https://lists.sourceforge.net/lists/listinfo/tntnet-general
