Welche Gefahr geht von einer URL aus, die ein User mit SessionID veröffentlicht hat?

SessionID in URL

Beispiel jemand postet in einem öffentlichen Forum eine URL mit daran anschließender SessionID:

Z.B.
www.url_irgendwo_hin.de/index.html?sessionid=123456

Jeder kann nun die SessionID 123456 lesen.

Frage, was kann der andere nun damit anstellen?

Guest

Probier es aus.
Nimm einfach einen zweiten Browser wo du keine Cookies bzgl. der Webseite hast und steuere die URL an.
Ich hatte schon erlebt, dass man damit vollen Zugriff auf den Account hatte (hatte das testweise bei mir selbst ausprobiert). Allerdings ist die Session irgendwann wieder verfallen.

k

Die Session-ID ist doch an die IP gebunden, das heißt es passiert überhaupt nichts es sei denn du hast die selbe IP wie der Trottel.

Guest

Ne, die ist nicht an der IP gebunden!

http://de.wikipedia.org/wiki/Session-ID#Sicherheit

zwutz

http://de.wikipedia.org/wiki/Session_Hijacking
http://de.wikipedia.org/wiki/Session_Fixation

sid_

das ist ja schrecklich, wie konnte man nur so etwas unsicheres entwerfen

Guest

Ist halt praktisch.

Kenner der IT

Es gibt nicht nur eine Art Session-IDs umzusetzen. Bei Amazon z.B. geht das so nicht.