Tweet
@mrhappiness
Ist die Session-ID eigentlich leichter zu klauen (zu ersniffen wie du es nennst) wenn Sie per GET übertragen wird als bei der Cookie-Variante? Oder ist das bei Cookies ohnehin nicht möglich?
Die 'TAN's' liesen sich wahrscheinlich ebenso klauen, dazu müsste einfach der Quelltext 'ersnifft' werden der vom Server zum User übertragen wird. Das wird ja auch möglich sein denk ich mal? (ich hab von derartigen Sachen nicht wirklich Ahnung). Dann muss der 'Hacker' einfach nur einen Tick schneller mit dem nächsten Aufruf sein als der eigentlich berechtigte User und er hätte die Session übernommen. Also vielmehr als eine Spielerei wäre diese Möglichkeit ja wohl auch nicht.
Bliebe lediglich noch die Möglichkeit dass die Session ja gelöscht wird wenn der eigentlich berechtigte User dann mit der inzwischen verbrauchten TAN etwas unternehmen möchte, aber wieviel Unfug ein anderer damit schon gemacht hat steht dann in den Sternen.
Ist die Session-ID eigentlich leichter zu klauen (zu ersniffen wie du es nennst) wenn Sie per GET übertragen wird als bei der Cookie-Variante? Oder ist das bei Cookies ohnehin nicht möglich?
Die 'TAN's' liesen sich wahrscheinlich ebenso klauen, dazu müsste einfach der Quelltext 'ersnifft' werden der vom Server zum User übertragen wird. Das wird ja auch möglich sein denk ich mal? (ich hab von derartigen Sachen nicht wirklich Ahnung). Dann muss der 'Hacker' einfach nur einen Tick schneller mit dem nächsten Aufruf sein als der eigentlich berechtigte User und er hätte die Session übernommen. Also vielmehr als eine Spielerei wäre diese Möglichkeit ja wohl auch nicht.
Bliebe lediglich noch die Möglichkeit dass die Session ja gelöscht wird wenn der eigentlich berechtigte User dann mit der inzwischen verbrauchten TAN etwas unternehmen möchte, aber wieviel Unfug ein anderer damit schon gemacht hat steht dann in den Sternen.
Kommentar