Hello,

Ist die Methode grundsätzlich sicher? Selbstverständlich speichere ich das Passwort nirgends plain ab und ich habe für das Loginscript ein Schutz vor Brute-Force eingebaut.

kommt darauf an... Wenn ich das Session-Token stehlen kann, kann mir deine Login-Sicherheit egal sein.

Darum sollte man ja den Betrieb auch nur über TLS (HTTPs) zulassen.

Allerdings kann man dann immer noch Session-Token-Raten im Bruteforce fahren. Kommt dann eben darauf an, wie breit die gestreut sind über den Wertebereich und welche Maßnahmen ich am Server dagegen unternommen habe, die Attacke zu erkennen. Durch IPv6 ist das nur noch schwer möglich. Der Präfix sollte zwar i. d. R. dann gleich bleiben, aber wer weiß das schon genau?

Wenn das System also viele User hat mit aktiven Sessions, ist die Wahrscheinlichkeit nicht ganz so gering, mal eine davon zu treffen. Ich hatte das hier neulich erst thematisiert, nachdem ich die Aufgabe bekommen hatte, gegen diese Lücke etwas zu tun. Ist leider nicht einfach, denn Session-Token-Raten geht am Loginsystem total vorbei.

Liebe Grüße
Tom S.