@Grumpy
Läuft gerade aus dem Drucker. Danke für den Hinweis.
Zitat von
alcaeus:
wenn du ein Session-basierendes Login-System hast kannst du auch einfach verlangen, dass fuer bestimmte Aktionen (z.B. Logout) die Session-ID nicht nur im Cookie sondern auch in der
URL vorhanden ist (dass sie uebereinstimmen muessen erklaert sich wohl hoffentlich von selbst). So kann der Request nur mit Hilfe von JavaScript in deinem Code gestartet werden (bspw. ueber XSS) und dann hast du eh schon ganz andere Probleme
Stimmt das wäre ne Möglichkeit. Die Session-ID würde ich ja dann via JavaScript auslesen und nicht schon mit der Seite mitschicken wie ein Challenge-Token. Und von ner fremden Seite kommt man via JavaScript ja nicht auf den Cookie.
Ich denk ich muss da dochmal ein paar Demoattacken machen.
@IX Artikel
Steh ich jetzt aufm Schlauch?! Die gute Dame empfiehlt den Token. Aber ich kann doch in der manipulierten Seite ein GET auf das Formular machen und schon hab ich nen eigenen Token. Den schick ich zurück und die Sicherheitsmaßnahme ist für die Tonne.