Ich hatte in der Vergangenheit bei verschiedenen Konferenzen das Vergnügen, die Sicherheitsaspekte von Sessions und dem User-Login bei Webanwendungen näher zu beleuchten. Nun habe ich das Thema in einem Artikel zusammengefasst, der von der Redaktion der Zeitschrift iX für so interessant befunden wurde, dass er im aktuellen Heft abgedruckt wurde.
Es geht um verschiedene Möglichkeiten, das Session-Cookie zu klauen (vom Einfall via Cross-Site-Scripting bis zum Abhören mittels SSL-Stripping), Brute-Force-Login-Versuche, der korrekte Umgang mit den Passwörtern der Benutzer auf Serverseite sowie Verfahren für das Wiederherstellen eines vergessenen Passworts. Ich hoffe, der Artikel findet Interesse! Wer Feedback dazu hat, kann mir gerne mailen oder hier in die Kommentare schreiben.