De seneste forum tråde i [hijacking] på Udvikleren.dk http://www.udvikleren.dk/ Fri, 17 Apr 2026 10:57:09 GMT http://backend.userland.com/rss Udvikleren.dk RSS Feeder 60 Har læst lidt om hvordan man forhindrer session hijacking. Mere specifikt 2 metoder. <br /><br />Den ene er at regenerere session cookie efter hver (betydelig) request. Den anden er at bruge en såkaldt 'nonce'. Men jeg kan ikke helt forstå hvordan de skulle afhjælpe på problemet (forøge sikkerheden på nogen måde).<br /><br />Hvis BadGuy har mulighed for at sniffe trafikken mellem GoodGuy og server kan han vel aflæse alt information mellem GoodGuy og serveren. Så første scenarie med regenerering:<br /><br />1. GoodGuy har fået fat i en session id (sådan set ligemeget om det er cookie eller url).<br />2. BadGuy kan se samme response og har dermed også den session id og impersonate GoodGuy.<br />3. a: GoodGuy forbinder nu til serveren igen før BadGuy.<br /> Serveren svarer med en ny session id til GoodGuy<br /> BadGuy kan også se denne - Intet har ændret sig<br />3. b: BadGuy forbinder før GoodGuy.<br /> Serveren svarer med en ny session id til BadGuy<br /> BadGuy kan stadig forbinde, men GoodGuy har ikke den nye session id og bliver smidt ud til login (sandsynligvis)<br /><br />Scenariet med en 'nonce' er sådan set det samme. I stedet for session id er det bare en nonce.<br /><br />Er der noget jeg har overset? Hvordan forbedrer det på nogen måde sikkerheden? http://www.udvikleren.dk/forum/35987/anti-session-hijacking/ Tue, 22 Nov 2011 22:28:39 GMT