Ich hatte in der Ver­gan­gen­heit bei ver­schie­de­nen Kon­fe­ren­zen das Ver­gnü­gen, die Si­cher­heits­as­pek­te von Ses­si­ons und dem User-Log­in bei Web­an­wen­dun­gen näher zu be­leuch­ten. Nun habe ich das Thema in einem Ar­ti­kel zu­sam­men­ge­fasst, der von der Re­dak­ti­on der Zeit­schrift iX für so in­ter­es­sant be­fun­den wurde, dass er im ak­tu­el­len Heft ab­ge­druckt wurde.

Es geht um ver­schie­de­ne Mög­lich­kei­ten, das Ses­si­on-Coo­kie zu klau­en (vom Ein­fall via Cross-Site-Scrip­t­ing bis zum Ab­hö­ren mit­tels SSL-Strip­ping), Bru­te-Force-Log­in-Ver­su­che, der kor­rek­te Um­gang mit den Pass­wör­tern der Be­nut­zer auf Ser­ver­sei­te sowie Ver­fah­ren für das Wie­der­her­stel­len eines ver­ges­se­nen Pass­worts. Ich hoffe, der Ar­ti­kel fin­det In­ter­es­se! Wer Feed­back dazu hat, kann mir gerne mai­len oder hier in die Kom­men­ta­re schrei­ben.