Ich möchte HTTPS nicht für meine Web-App verwenden. Ich habe Digest-Authentifizierung als Methode verwendet, um die Anmeldung an meinem System zu sichern. Und nachdem der Benutzer authentifiziert wurde, sende ich einfach Nonce an sie (1 min). Wenn Benutzer eine Anfrage stellen, überprüfe ich einfach, ob die Nonce abläuft, bevor ich ihnen Antwort schicke.Wie sichere session_id?
Ich möchte wissen, ob es für mich notwendig ist, Benutzer session_id
zu schützen, falls die Angreifer die Nonce wiederholen oder den Nonce-Erzeugungsmechanismus erraten? Und wenn ja, wie sichere ich die session_id
?
Danke für die Antwort. Ich habe einige Zweifel bezüglich der Lösungen 1 und 3. Für Lösung 1: Obwohl wir den Benutzern eine neue Sitzungskennung geben, kann der Angreifer in der nachfolgenden Anfrage immer noch die neue Sitzungs-ID ausspionieren. Für Lösung 3: Was ist der Unterschied zwischen dem Löschen der Sitzung und dem Generieren der neuen Sitzungs-ID? Ist es nicht einfacher, die Sitzungskennung neu zu generieren? –