Diskussion:Session Hijacking

Tach zusammen. Nach dem ich mir mal die Zeit genommen habe, den Artikel etwas aufzupolieren, habe ich auch die „Überarbeiten“-Vorlage wieder entfernt. Ich hoffe, dass derjenige, der sie gesetzt hat, mit dem Ergebnis zufrieden ist. Ich sehen auf jeden Fall noch verbesserungsbedarf im Abschnitt Session-Hijacking#Hijacking von TCP-Sessions, kenne mich da aber nicht so detailiert aus, als dass ich mich da rantrauen würde. Freiwillige vor! - Togs 11:43, 25. Jan 2006 (CET)

Material zur Informationssammlung für Session-Hijacking#Hijacking von TCP-Sessions findet sich u.a. hier:

• http://www.tecchannel.de/netzwerk/sicherheit/402459/index4.html
• http://www.uni-koblenz.de/~steigner/seminar-net-sec/sem2.pdf
• http://www.igd.fhg.de/~pebinger/lectures/netzwerksicherheit/slides/05_Attacks_WS2004.pdf

-- Togs 08:38, 26. Jan 2006 (CET)

„Session Hijacking“ ist kein deutscher Begriff, also weg mit dem Bindestrich!

Richtig, kein deutscher Begriff, aber ein deutscher Artikel, in dem deutsch geschrieben wird, also weg mit dem Deppenleerzeichen ;-) Bitte keinen flame war bzgl. Rechtschreibung starten. Ich finde es sollte (möglichst) einheitlich sein, in SQL-Injection hat es schon jemand richtig umgestellt, das sollte Zug um Zug hier auch gemacht werden. Wer sich an dem (deutschen) Bindestrich stört, kann ja das englische Wiki lesen. --Circe, 24. Nov. 2007

Mir ist aufgefallen das im Gesamtkontext der Seite mehrmals zwischen Deutschen und Englischen Begriffen für ein und dieselbe Sache gesprungen wird.

Bestes Beispiel ist:

• Session Hijacking -> Sitzung entführen

Wäre es nicht besser zwar den Deutschen Begriff dafür zu erklären, aber konsequent bei der Verwendung des Englischen zu bleiben?

Da ich selbst mit einigen kleinen Seiten, die php und mySQL einsetzen, vertreten bin, interessiert mich der Sicherheitsaspekt inzwischen doch sehr.

Meine wichtigste Frage lautet: Was von all den JavaSkript-Sachen ist wirklich gefährlich? Wenn jemand durch einen gefakten URL ein "Hallo, Welt!" (oder was auch immer) an sich selbst schickt, dann interessiert mich das wirklich nicht die Bohne. Falls es aber durch Benutzereingaben, die in einer Datenbank gespeichert werden müssen, zu - im einfachsten Fall - Belästigungen anderer Benutzer bis hin zu Datenmanipulation mit - im schlimmsten Fall - finanziellen Folgen kommt, dann bin ich sehr daran interessiert, was wann wo wie (und gerne auch: warum) gemacht werden muss, um solchen Manipulationen Einhalt zu gebieten.

77.189.100.209 18:09, 30. Mär. 2009 (CEST)[Beantworten]

Eine genaue Erklärung wie Angriffe auf die Session abgewehrt oder eingedämmt werden können, überschreitet den Scope von Wikipedia-Artikeln bei Weitem, lesenswert ist der Artikel Cross-Site Scripting, dazu gibt es neben Webseiten vor allem einige lesenswerte Bücher (z.b. The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws von Dafydd Stuttard und Marcus Pinto)

In einem Satz ist die Vorsorge gegen Injection-Lücken immer "Eingaben filtern, Ausgaben korrekt kodieren"

AlexLehm 00:43, 29. Mai 2010 (CEST)[Beantworten]