Hallo Henk,

Danach wäre ein solches login nicht sicherer als z.B. die Übertragung des Usernamen und Passwortes im Klartext mit POST.
Mache ich da irgendeinen Denkfehler?

glaube ich nicht (das mit dem Denkfehler). Das war mir auch so durch den Kopf gegangen. Das einzig "sicherere" daran ist, dass eben Benutzername und Passwort nicht direkt gelesen werden können und damit zumindest nicht sofort persönliche Daten des Benutzers preisgegeben werden (z.B. könnte das Benutzername/Passwort-Paar auch woanders benutzt werden).

Genauso ist es ja mit Session-IDs. Eine Session von irgendwem zu übernehmen ist ein leichtes, wenn man einfach die Session-ID aus dem Netz fischt. Meistens jedenfalls wird als Akzeptanzkriterium am Server wirklich nur diese ID herangezogen. Wenn man weitere Kriterien wie z.B. User-Agent-String herzieht macht man die Übernahme zwar ein wenig schwerer (ein Angreifer muss eben diese Daten auch mit übergeben), aber nicht unmöglich. Und die IP-Adresse scheidet als Kriterium aus, weil es gerade bei längeren Sessions gerne mal zu einem Wechsel der IP z.B. durch Neueinwahl oder durch mehrere Gateways eines Firmennetzes kommt. Und selbst die kann ja gefälscht sein.

viele Grüsse
Achim Schrepfer