Welche Gefahr geht von einer URL aus, die ein User mit SessionID veröffentlicht hat?

SessionID in URL

Beispiel jemand postet in einem öffentlichen Forum eine URL mit daran anschließender SessionID:

Z.B.
www.url_irgendwo_hin.de/index.html?sessionid=123456

Jeder kann nun die SessionID 123456 lesen.

Frage, was kann der andere nun damit anstellen?

Gast

Probier es aus.
Nimm einfach einen zweiten Browser wo du keine Cookies bzgl. der Webseite hast und steuere die URL an.
Ich hatte schon erlebt, dass man damit vollen Zugriff auf den Account hatte (hatte das testweise bei mir selbst ausprobiert). Allerdings ist die Session irgendwann wieder verfallen.

k

Die Session-ID ist doch an die IP gebunden, das heißt es passiert überhaupt nichts es sei denn du hast die selbe IP wie der Trottel.

Gast

Ne, die ist nicht an der IP gebunden!

http://de.wikipedia.org/wiki/Session-ID#Sicherheit

zwutz

http://de.wikipedia.org/wiki/Session_Hijacking
http://de.wikipedia.org/wiki/Session_Fixation

sid_

das ist ja schrecklich, wie konnte man nur so etwas unsicheres entwerfen

Gast

Ist halt praktisch.

Kenner der IT

Es gibt nicht nur eine Art Session-IDs umzusetzen. Bei Amazon z.B. geht das so nicht.