Gumbo
Erfahrenes Mitglied
Die Sitzungsdaten selbst können nicht verändert werden, da dies nur über das Skript geht. Es reicht aber eine gültige Sitzungs-ID zu haben, die beispielsweise durch Cross-Site Scripting besorgt werden kann.
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature currently requires accessing the site using the built-in Safari browser.
Aus dem Tutorial hat gesagt.:Ein Hacker könnte ja auf die Idee kommen, 1000 Anfragen pro Sekunde zu senden. Das würde durch sleep(2); abgehalten werden, da er immer 2 Sekunden auf die Antwort warten müsste. Nun könnte er seine Programm aber sagen, breche nach 2 Sekunden ab! Deswegen wird hier bei einem korrekten Login ein variables Timeout des Server simuliert. Bei fehlgeschlagenem Login auch, welches jedoch etwas größer ist!
Nein, das heißt es leider nicht. Denn Cross-Site Scripting ist nur eine Möglichkeit an Cookie-Daten zu kommen. Es gibt aber noch andere, die jedoch wohl seltener ausgenutzt werden, da sie komplizierter oder ineffizienter sind. Ein Schutz gegen Cross-Site Scripting ist aber ein guter Anfang.Aha, also wenn eine Seite vollkommen gegen XXS gesichert wäre, wäre eine User Authentifizierung anhand einer Session Variable oder eines Cookies also sicher?
Wenn 1000 Anfragen von einem einzigen Client innerhalb einer Sekunde eingehen, sollte spätestens nach der dritten, fünften oder zehnten der Server alle weiteren automatisch abweisen.Wäre das noch eine weiter Möglichkeit sich vor Angriffen zu schützen? Nach der DB Abfrage und Vergleich des Namens und Passwortes, bevor man Session oder Cookie setzt, sleep anwenden?