[Owasp-germany] Rotierte SessionIDs

Stefan Pantke seaside.ki at me.com
Sat Jul 20 22:23:41 UTC 2013


Hallo,

dann und wann liest man dass sessionIDs rotiert werden sollten. In andere security guidelines liest man diesen Hinweis jedoch nicht.

Sofern ein Angreifer EINEN http-request mitschneiden sollte, könnte eine rotierte ID nützlich sein - da bei seinem nächsten Angriff bereits eine neue gültig ist.
Sofern ein Angreifer JEDEN http-request mitschneidet, könnte er hinreichend schnell eine noch gültige ID abfangen, die er dann für einen Angriff nutzt.

Ob nach einer rotierten ID die vorherige ID noch genutzt werden kann, ist natürlich auch eine Frage der serverseitigen Anwendung. 

Andererseits sind die Kosten rotierter IDs zu vernachlässigen.

Frage: Sollten sessionID rotiert werden, weil sie die Sicherheit erhöhen?


Viele Grüße

Stefan 



More information about the Owasp-germany mailing list