SessionID erraten?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
anfragen
attacke
beitrag
berechnung
bestehen
chance
computer
einwahl
force
intuition
kombination
liege
lotto
mengen
mensch
rechenleistung
session
spezielle funktion
stert
zeichenkombination
-
Hallo,
Zwei Fragen:
1. Kann man eine SessionID erraten? Also sodass man in einer anderen Session ist? Wie wahrscheinlich ist das?
2. Wie stellt sich eigentlich eine SessionID zusammen? Wie ist sie aufgebaut?
MfG lagerhaus -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
afaik ist sie zuf?llig zusammengesetzt und die chance sie zu eraten innerhalb der aktive zeit ist sehr sehr sehr gering
mfg apollo13 -
und oft ist da auch noch ein IP-check mitgekoppelt.
Wenn du aus einem ganz anderem Einwahl-Bereich kommst, dann wirst du wahrscheinlich sowieso nicht reingelassen werden. -
afaik ist sie zuf?llig zusammengesetzt
Bei Computern gibt es keinen Zufall
sondern ?????
schon von random geh?rt ^^
mfg apollo13 -
Klar hab ich das, ich studiere Informatik. Aber was glaubst du was Random macht? Denkst du das bekommt Zahlen aus heiterem Himmel zugefl?stert? Dahinter stecken auch nur Funktionen.
-
afaik ist sie zuf?llig zusammengesetzt
Bei Computern gibt es keinen Zufall
sondern ?????
schon von random geh?rt ^^
mfg apollo13
Naja, er hat schon recht. "Zufall" sind auch nur komplizierte Rechnungen, die f?r Menschen wie Zufall erscheinen. Ein Computer hat ja keine Intuition.
MfG lagerhaus
//EDIT: Schon wieder zu sp?t. Schon das x-te Mal heute abend!
Beitrag ge?ndert am 28.08.2005 21:04 von lagerhaus -
okay wenn alles berechnungen sind, m?sstest du ja im vorhinein sagen k?nnen was kommt oder liege ich hier falsch (aus diesem grund ist es f?r mich eigentlich zufall)
mfg apollo13
edit: @lagerhaus schneller schreiben, das kommt jetzt schon oft vor ^^
Beitrag ge?ndert am 28.08.2005 21:06 von apollo13 -
Ich denke mal, dass die Wahrscheinlichkeit eine bestimmte Session zu erraten niedriger ist als ein Lotto Gewinn.
Also alle Lotto Gewinner hackt meine Session. :P - Ja, das ist unlogisch, die meisten Leute haben nicht zweimal so viel Gl?ck, aber was solls. ^^
apollo13 schrieb:
okay wenn alles berechnungen sind, m?sstest du ja im vorhinein sagen k?nnen was kommt oder liege ich hier falsch (aus diesem grund ist es f?r mich eigentlich zufall)
[...]
Theoretisch ja, praktisch nein. ;)
Beitrag ge?ndert am 28.08.2005 21:11 von lucas9991 -
okay wenn alles berechnungen sind, m?sstest du ja im vorhinein sagen k?nnen was kommt oder liege ich hier falsch (aus diesem grund ist es f?r mich eigentlich zufall)
Korrekt, die Vorraussetzung daf?r w?re aber, das man genau in der selben Microsekunde ! Mit der selben Rechnenleistung und vielen anderen Dingen, die 100%ig gleich sein m?ssen mit dem anderem Rechner die "Zufalls"-operation durchf?hren m?sste und das grenzt an Unm?glichkeit, da einfach zu viele Faktoren beteiligt sind, die sich jede Micro/Millisekunde ?ndern.
Und auch nicht alle Computer uhren laufen gleich schnell -
Vielleicht ist es f?r einen Menschen ja nicht zuf?llig machbar, aber k?nnte eine spezielle Funktion nicht auch eine Art "Brute Force" Attacke auf die Session starten?
-
brute force auf deutsch "nackte gewalt" (irgendwo sch?n ?bersetzt von alopex) ist dazu gedacht etwas zu entschl?sseln und was willst du bei einer "zuf?lligen" session-id entschl?sseln ???
mfg apollo13 -
"Brute Force" in der Entschl?sselung funktioniert ja so, dass das Programm ganz viele Zeichenkombinationen ausprobiert bis der Schl?ssel passt. Nehmen wir an die Session-ID bleibt etwas l?nger bestehen, dann k?nnte eine Menge Rechenleistung doch alle m?glichen Kombinationen durchprobieren (und es sind ja meist mehrere Sessions gleichzeitig aktiv, also ist die Chance h?her in eine einzubrechen).
-
1. hat jeder user nur eine session id
2. ist sie wie oben gesagt meist mit ip gekoppelt also sinnlos
mfg apollo13
edit: au?erdem wann wei? das programm, dass es die richtige id hat, immer ne anfrage an den webserver zu schicken w?re viel viel viel zu langsam
Beitrag ge?ndert am 28.08.2005 21:40 von apollo13 -
Nehmen wir an die Session-ID bleibt etwas l?nger bestehen, dann k?nnte eine Menge Rechenleistung doch alle m?glichen Kombinationen durchprobieren..
Was bringt dir eine hohe Rechenleistung, wenn der Server deinen Anfragen nicht standh?lt? Au?erdem ben?tigt es keine hohe Rechenleistung die Zeichenkette hochzuz?hlen. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage