Moinsen,
ich habe mir die letzten 2 Tage bisschen über Session Hijacking belesen. Nun möchte ich mein Projekt vor Hijacking schützen. Allerdings ist mir immer noch nicht ganz klar, wie das genau mit der Session nun abläuft.
Ein User loggt sich ein, eine Session wird dadurch gestartet und der Client (Browser) bekommt eine eindeutige Session ID zugewiesen. Diese eindeutige Session ID kann ein Hacker aber ändern und kann somit eventuell volle Kontrolle über ein anderes Konto haben.
Mein Projekt hat ein Session/Cookie basiertes Login. Sprich: Der User bekommt bei jeden Login eine eindeutige ID (Login-ID) zugewiesen, die nach überschreiten einer Zeitspanne gelöscht wird.
Kann ich mein Projekt besser vor Hijacking schützen, wenn ich die Login-ID und die gehashte Email Adresse (mit Salt) mit der DB überprüfe?
ich habe mir die letzten 2 Tage bisschen über Session Hijacking belesen. Nun möchte ich mein Projekt vor Hijacking schützen. Allerdings ist mir immer noch nicht ganz klar, wie das genau mit der Session nun abläuft.
Ein User loggt sich ein, eine Session wird dadurch gestartet und der Client (Browser) bekommt eine eindeutige Session ID zugewiesen. Diese eindeutige Session ID kann ein Hacker aber ändern und kann somit eventuell volle Kontrolle über ein anderes Konto haben.
Mein Projekt hat ein Session/Cookie basiertes Login. Sprich: Der User bekommt bei jeden Login eine eindeutige ID (Login-ID) zugewiesen, die nach überschreiten einer Zeitspanne gelöscht wird.
Kann ich mein Projekt besser vor Hijacking schützen, wenn ich die Login-ID und die gehashte Email Adresse (mit Salt) mit der DB überprüfe?
Kommentar