@Elderan:
Über das Problem mit Tor und. Co hatte ich auch schon gegrübelt.
Die Idee mit dem erneuten Login ist schon erschreckend einfach wenn ich darüber nachdenke : im einfachsten Fall, die SessionId im Cookie, so dort gespeichert,.löschen/ändern, die gleiche Seite per HttpXmlRequest aufrufen und alles loggen.
@umbrella:
Ja, genau den in deinem letzten Absatz erwähnten Sinn und Zweck hat mein Schlüssel.
Deine restlichen Tipps werde ich berücksichtigen.
@csde_rats:
Darüber hatte ich auch schon nachgedacht, siehe mein zweiter Post letzter Absatz in diesem Thread. Dennoch Dankeschön für den Tipp.
@GrafZahl:
Irgendwie verstehe ich den Sinn dahinter nicht ganz.
Das "shared secret" muss zur erneuten Schlüsselgenerierung doch auch beim Client gespeichert werden.
Sollte das z.b. in den Cookies geschehen, ist es dem Angreifer doch wieder problemlos möglich, so eine XSS Möglichkeit o.ä. gegeben ist, den Schlüsse zu generieren, oder sehe ich da was falsch?
Ich möchte auf jeden Fall nicht auf "security through obscurity" aufbauen.
M.f.g.
SleepProgger