On Wednesday, January 21, 2004 9:27 AM Lars Monsees wrote:

Wie wäre es denn theoretisch möglich, an eine bestehende SessionID zu kommen?

Kurz: Per Netzwerk-Scanner wie ethereal z.B. einer ist, oder indem die Logfiles geparsed werden. Lang: Du musst dafür Zugriff auf den Datenstrom haben. Die Admins der Netzwerke, deren Server/Router/Switches/etc.pp. an der Datenübermittlung beteiligt sind, haben Zugriff darauf, und jeder, der eine der Boxen gehackt haben sollte. Ein Netzwerkscanner loggt, analysiert und filtert nach Vorgaben des Users (Admins) z.B. Protokoll, Adresse(n) und Inhalt. OTRS-Webseiten folgen einem Muster und sind leicht herauszuparsen. Das war's. Den IP-Check abschalten würde ich nur, wenn gleichzeitig alle http-Verbindungen unterbunden werden, und nur per https gearbeitet wird, womit die Session-Id verschlüsselt würde. Allerdings wird das m.E. bei ständig und häufig wechselnden IP-Adressen zu einer Verlangsamung der erlebten Arbeitsgeschwindigkeit führen, da das SSL-Protokoll jeweils neu ausgehandelt werden muss. hth, Robert Kehl -- ((otrs.de)) :: OTRS GmbH :: Norsk-Data-Str. 1 :: 61352 Bad Homburg http://www.otrs.de/ :: Tel. +49 (0)6172 4832388