Hello,

Besser ist es tatsächlich, verschlüsselt zu arbeiten und ein zweites Credential mitzuführen (Extra-Cookie). Dann kann man, auch wenn eine Session zufällig|absichtlich getroffen wird, immer noch erkennen, dass etwas nicht stimmt. Da der Cookie in der Payload liegt, ist er vor dem Zugriff unterwegs sicher. Und die Wahrscheinlichkeit, dass man zeitnah auch den Cookie errät passend zum Session-Token ist tatsächlich sehr unwahrscheinlich, da der namensraum der Session alleine dem Affektierten User gehört, also keine Streudichte berücksichtigt werden muss.

Bei https gehen wir eher von MITM-Angriffen aus, und da ist es egal wie du Tokens behandelst.

Da bringst Du jetzt etwas durcheinander. Man kann per HTTPs eine Kommunikation betreiben. Die ist aber an beiden Enden wieder unverschlüsselt. Also kann ich mit brutaler Gewalt an meinem Ende Session-Tokens erfinden und schauen, was mir das andere Ende darauf antwortet.

Ich habe solche Fälle von Treffern bei ein paar großen Portalen. Die waren total entsetzt, dass die diese Möglichkeit nicht berücksichtigt hatten. Einer der affektierten User konnte aber beweisen, dass er den Scheiß nicht verzapft haben konnte. Und da haben sie angefangen müssen, zu suchen.

Liebe Grüße
Tom S.