Hi,

Ich würde gern wissen wie ich zuverlässig Session-hijacking verhindern kann.
Ich erzwinge Sessions per Cookie aber was kann ich dagegen tun wenn jemand den Inhalt des Cookies weiter gibt (Session fixation ist bereits ausgeschlossen)?

Du meinst *absichtlich*? Das wäre kein “Hijacking”.

Ich würde die Session gern noch an weitere Daten koppeln damit die übernahme einer Session nicht nur von der ID anhängt.

IP-Adresse (mit Vorsicht zu geniessen), Browser-Fingerprinting.

Ein Ansatz wäre es, einen Token in einer Datenbank und der Session zu speichern und diese gegeneinander zu vergleichen.

Was soll das nützen? Wenn ich an eine gültige Session-ID komme, findest du dazu in der Datenbank den Token – und vergleichst beide erfolgreich.

Wie kann man also Session-hijacking zuverlässig verhindern? Oder ist das überhaupt möglich wenn man nichtmal den cookies vertraut?

Wenn du wirklich von absichtlicher Weitergabe des Cookies redest – dann sind es deine Nutzer, denen du nicht vertraust.

MfG ChrisB