Diskussion:Session Fixation
Gegenmaßnahmen
Bearbeiten..habe ich mal mit einem „Überarbeiten“ versehen, da die meisten Maßnahmen nicht effektiv sind und bestenfalls die Hürden für einen Angreifer erhöhen. Einzig wirksame Maßnahme ist das Neufestlegen einer Session-ID, nachdem sich ein Benutzer eingeloggt hat. Alles andere ist Augenwischerei. Habe grade nicht die Zeit, aber vielleicht findet sich ja jemand, der das noch mal umschreiben mag. Togs 20:52, 18. Sep 2006 (CEST)
- Ich finde, die im angesprochenen Abschnitt genannten Dinge sind erwähnenswert. Es sind Gegenmaßnahmen, nicht unbedingt Maßnahmen zur Verhinderung. Timeouts und Bindung an IP (auch wenn es hier bei wechselnden Proxies, wie bei AOL – zumindest früher – üblich, Probleme gibt) sind keine Allheilmittel, verringern aber die Wahrscheinlichkeit eines erfolgreichen Angriffs durchaus. --jailbird 23:13, 18. Sep 2006 (CEST)
- Meiner Meinung ist das so, als würde man einem betrunkenen Autofahrer mit Sehfehler raten, doch bitte zumindest die Brille aufzusetzen, weil man damit die Sicherheit auf den Straßen wenigstens etwas erhöht. Aber so lange im Artikel deutlich darauf hingewiesen wird, welche Maßnahmen effektiv sind und welche mit etwas mehr Grips seitens des Angreifers ausgetrickst werden können, bin ich da leidenschaftslos. --Togs 11:37, 20. Sep 2006 (CEST)
Ich möchte gerne anregen, den Hinweis für Nutzer, die Verfügbarkeit von SSL zu prüfen, zu entfernen. SSL schützt nicht vor Session Fixation, da nicht oder nur selten die verschlüsselte Kommunikation abgehört wird. Der Angreifer besorgt sich eine gültige Session-ID, die er dem Opfer unterjubelt. Meist wird nach der Authentifizierung vergessen, die Session-ID zu erneuen (wie im Artikel beschrieben). Eigentlich kann nur hier Abhilfe geschaffen werden. Man sollte den Nutzer nicht in falsche Sicherheit wiegen. Ich lasse mir natürlich gerne erklären, wie SSL doch Schutz bietet, den ich i.M. nicht sehen kann. -- U7o 17:32, 6. Sep. 2007 (CEST)
Minus Überarbeiten
Dafür Warnhinweis hinzugefügt, ich denke das genügt hier. Unanfechtbare Sicherheitsstrategien sind von WP nicht zu erwarten. --Peu 12:48, 6. Mai 2008 (CEST)
IP Edit
BearbeitenIch habe diesen Edit einer IP reverted, da er unter einer Vielzahl von Änderungen auch eine große Anzahl von offensichtlich nicht korrekten Änderungen enthielt. --Nepenthes 19:27, 21. Aug. 2007 (CEST)
- Welche Änderungen außer dem Austausch der vermeintlichen falschen Fachtermina waren denn noch nicht korrekt? 89.166.145.79 01:50, 22. Aug. 2007 (CEST), ehemals 212.95.103.219
Physikalisch
BearbeitenBitte den Begriff "physikalisch" nicht als Übersetzung für "physical" benutzen! "Physikalisch" bedeutet, "den Gesetzen der Physik unterworfen", auf Englisch "physically". Gemeint ist hier aber vielmehr "physisch", also "körperlich", "real", gemeint als Gegenteil zu "virtuell"! Leider findet sich dieser "Übersetzungsfehler" auch in vielen Dokumentation namhafter Hersteller, sodass es mittlerweile fast in den Sprachgebrauch übernommen wurde... Z.B. gibt es natürlich "physikalische" Datenträger...aber meistens hier will man nicht auf den Unterschied gegenüber "chemischen" Datenträgern hinweisen, sondern darauf, dass es sich nicht um eine virtuellen Datenträger handelt. Daher sollte man in diesem Fall das Attribut "physisch" benutzen...obwohl mittlerweile "jeder" von "physikalischen" Datenträgern redet...zurückzuführen auf einen nahezu in der Dokumentation jeder Virtualisierungssoftware/-plattform befindlichen Übersetzungsfehler. (nicht signierter Beitrag von 93.82.160.115 (Diskussion) 00:06, 9. Okt. 2014 (CEST))
- Zustimmung. Ich habe gerade eben mit den Alternativen physischer Zugang und lokaler Zugriff experimentiert, aber aufgegeben nachdem ich festgestellt habe, dass der Abschnitt besser umgeschrieben werden sollte: die Teilaspekte der Darstellung sollten besser gegliedert sein. --Uncopy (Diskussion) 11:39, 9. Okt. 2014 (CEST)