kostenloser Webspace werbefrei: lima-city


SessionID erraten?

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    lagerhaus

    Kostenloser Webspace von lagerhaus

    lagerhaus hat kostenlosen Webspace.

    Hallo,
    Zwei Fragen:
    1. Kann man eine SessionID erraten? Also sodass man in einer anderen Session ist? Wie wahrscheinlich ist das?

    2. Wie stellt sich eigentlich eine SessionID zusammen? Wie ist sie aufgebaut?

    MfG lagerhaus
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. afaik ist sie zuf?llig zusammengesetzt und die chance sie zu eraten innerhalb der aktive zeit ist sehr sehr sehr gering

    mfg apollo13
  4. und oft ist da auch noch ein IP-check mitgekoppelt.
    Wenn du aus einem ganz anderem Einwahl-Bereich kommst, dann wirst du wahrscheinlich sowieso nicht reingelassen werden.

  5. afaik ist sie zuf?llig zusammengesetzt

    Bei Computern gibt es keinen Zufall :tongue:


  6. afaik ist sie zuf?llig zusammengesetzt

    Bei Computern gibt es keinen Zufall :tongue:


    sondern ?????

    schon von random geh?rt ^^

    mfg apollo13
  7. Klar hab ich das, ich studiere Informatik. Aber was glaubst du was Random macht? Denkst du das bekommt Zahlen aus heiterem Himmel zugefl?stert? Dahinter stecken auch nur Funktionen.
  8. Autor dieses Themas

    lagerhaus

    Kostenloser Webspace von lagerhaus

    lagerhaus hat kostenlosen Webspace.




    afaik ist sie zuf?llig zusammengesetzt

    Bei Computern gibt es keinen Zufall :tongue:


    sondern ?????

    schon von random geh?rt ^^

    mfg apollo13


    Naja, er hat schon recht. "Zufall" sind auch nur komplizierte Rechnungen, die f?r Menschen wie Zufall erscheinen. Ein Computer hat ja keine Intuition.

    MfG lagerhaus


    //EDIT: Schon wieder zu sp?t. Schon das x-te Mal heute abend!




    Beitrag ge?ndert am 28.08.2005 21:04 von lagerhaus
  9. okay wenn alles berechnungen sind, m?sstest du ja im vorhinein sagen k?nnen was kommt oder liege ich hier falsch (aus diesem grund ist es f?r mich eigentlich zufall)

    mfg apollo13

    edit: @lagerhaus schneller schreiben, das kommt jetzt schon oft vor ^^

    Beitrag ge?ndert am 28.08.2005 21:06 von apollo13
  10. Ich denke mal, dass die Wahrscheinlichkeit eine bestimmte Session zu erraten niedriger ist als ein Lotto Gewinn.
    Also alle Lotto Gewinner hackt meine Session. :P - Ja, das ist unlogisch, die meisten Leute haben nicht zweimal so viel Gl?ck, aber was solls. ^^

    apollo13 schrieb:
    okay wenn alles berechnungen sind, m?sstest du ja im vorhinein sagen k?nnen was kommt oder liege ich hier falsch (aus diesem grund ist es f?r mich eigentlich zufall)

    [...]

    Theoretisch ja, praktisch nein. ;)

    Beitrag ge?ndert am 28.08.2005 21:11 von lucas9991

  11. okay wenn alles berechnungen sind, m?sstest du ja im vorhinein sagen k?nnen was kommt oder liege ich hier falsch (aus diesem grund ist es f?r mich eigentlich zufall)



    Korrekt, die Vorraussetzung daf?r w?re aber, das man genau in der selben Microsekunde ! Mit der selben Rechnenleistung und vielen anderen Dingen, die 100%ig gleich sein m?ssen mit dem anderem Rechner die "Zufalls"-operation durchf?hren m?sste und das grenzt an Unm?glichkeit, da einfach zu viele Faktoren beteiligt sind, die sich jede Micro/Millisekunde ?ndern.

    Und auch nicht alle Computer uhren laufen gleich schnell :angel:
  12. Vielleicht ist es f?r einen Menschen ja nicht zuf?llig machbar, aber k?nnte eine spezielle Funktion nicht auch eine Art "Brute Force" Attacke auf die Session starten?
  13. brute force auf deutsch "nackte gewalt" (irgendwo sch?n ?bersetzt von alopex) ist dazu gedacht etwas zu entschl?sseln und was willst du bei einer "zuf?lligen" session-id entschl?sseln ???

    mfg apollo13
  14. "Brute Force" in der Entschl?sselung funktioniert ja so, dass das Programm ganz viele Zeichenkombinationen ausprobiert bis der Schl?ssel passt. Nehmen wir an die Session-ID bleibt etwas l?nger bestehen, dann k?nnte eine Menge Rechenleistung doch alle m?glichen Kombinationen durchprobieren (und es sind ja meist mehrere Sessions gleichzeitig aktiv, also ist die Chance h?her in eine einzubrechen).
  15. 1. hat jeder user nur eine session id

    2. ist sie wie oben gesagt meist mit ip gekoppelt also sinnlos

    mfg apollo13

    edit: au?erdem wann wei? das programm, dass es die richtige id hat, immer ne anfrage an den webserver zu schicken w?re viel viel viel zu langsam

    Beitrag ge?ndert am 28.08.2005 21:40 von apollo13

  16. Nehmen wir an die Session-ID bleibt etwas l?nger bestehen, dann k?nnte eine Menge Rechenleistung doch alle m?glichen Kombinationen durchprobieren..

    Was bringt dir eine hohe Rechenleistung, wenn der Server deinen Anfragen nicht standh?lt? Au?erdem ben?tigt es keine hohe Rechenleistung die Zeichenkette hochzuz?hlen.
  17. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!