[Owasp-germany] Rotierte SessionIDs

Kai Jendrian kai.jendrian at owasp.org
Sun Jul 21 06:13:09 UTC 2013


Hallo Stefan,

ich denke, Du redest über Session Renewal:
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Renew_the_Session_ID_After_Any_Privilege_Level_Change

Hiermit schützt Du Dich gegen Session Fixation:
https://www.owasp.org/index.php/Session_fixation

Und die Antwort: Session Renewal sollte auf alle Fälle implementiert werden.

HTH,
  .kai



Stefan Pantke schrieb:
> Hallo,
> 
> dann und wann liest man dass sessionIDs rotiert werden sollten. In andere security guidelines liest man diesen Hinweis jedoch nicht.
> 
> Sofern ein Angreifer EINEN http-request mitschneiden sollte, könnte eine rotierte ID nützlich sein - da bei seinem nächsten Angriff bereits eine neue gültig ist.
> Sofern ein Angreifer JEDEN http-request mitschneidet, könnte er hinreichend schnell eine noch gültige ID abfangen, die er dann für einen Angriff nutzt.
> 
> Ob nach einer rotierten ID die vorherige ID noch genutzt werden kann, ist natürlich auch eine Frage der serverseitigen Anwendung. 
> 
> Andererseits sind die Kosten rotierter IDs zu vernachlässigen.
> 
> Frage: Sollten sessionID rotiert werden, weil sie die Sicherheit erhöhen?
> 
> 
> Viele Grüße
> 
> Stefan 
> 
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany


More information about the Owasp-germany mailing list