Sichern von Sessions
Vor kurzen habe ich mir mit einem Freund (grüsse an Tom) den Kopf darüber zerbrochen, ob und wie man Sessions sicher machen könnte, siehe Session Hijack.
Wir sind auf folgende Technik gestossen.
Sicher löst dies nicht das Problem, mit dem XSS, aber da sich der Schlüssel ständig ändert, kann der fremde User nur sehr kurz damit arbeiten.
Wir sind auf folgende Technik gestossen.
- Die Session wird verschlüsselt (2-Weg), wobei sich der Schlüssel bei jedem Aufruf ändert.
- Dieser wird zusätzlich im Cookie mitgespeichert, damit man die Session-Werte wieder rückrechnen kann.
Sicher löst dies nicht das Problem, mit dem XSS, aber da sich der Schlüssel ständig ändert, kann der fremde User nur sehr kurz damit arbeiten.