Session-Token
Was ist Session-Token?
Session-TokenOpaker Identifier, der nach der Authentifizierung ausgegeben wird und mit jeder Anfrage zuruckgesendet wird, damit der Server den Sitzungszustand findet.
Ein Session-Token halt einen Nutzer uber HTTP-Requests hinweg eingeloggt. Meist ein kryptografisch zufalliger String, der serverseitig (Datenbank, Cache, signierter Cookie) gespeichert und als Cookie mit Secure, HttpOnly und SameSite an den Browser geschickt wird. Der Server verwendet ihn als Schlussel in einem Session-Store mit UserID, Rollen und Metadaten. Gute Session-Tokens haben hohe Entropie, werden bei Login und Rechtewechsel regeneriert, besitzen Idle- und Absolut-Timeouts und werden beim Logout serverseitig invalidiert. Typische Angriffe: Session Fixation, Hijacking, vorhersagbare IDs und fehlender Logout.
● Beispiele
- 01
Set-Cookie: SESSIONID=Z6r...; Secure; HttpOnly; SameSite=Lax
- 02
Sofort nach erfolgreichem Login die Session-ID regenerieren, um Fixation zu verhindern.
● Häufige Fragen
Was ist Session-Token?
Opaker Identifier, der nach der Authentifizierung ausgegeben wird und mit jeder Anfrage zuruckgesendet wird, damit der Server den Sitzungszustand findet. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Session-Token?
Opaker Identifier, der nach der Authentifizierung ausgegeben wird und mit jeder Anfrage zuruckgesendet wird, damit der Server den Sitzungszustand findet.
Wie funktioniert Session-Token?
Ein Session-Token halt einen Nutzer uber HTTP-Requests hinweg eingeloggt. Meist ein kryptografisch zufalliger String, der serverseitig (Datenbank, Cache, signierter Cookie) gespeichert und als Cookie mit Secure, HttpOnly und SameSite an den Browser geschickt wird. Der Server verwendet ihn als Schlussel in einem Session-Store mit UserID, Rollen und Metadaten. Gute Session-Tokens haben hohe Entropie, werden bei Login und Rechtewechsel regeneriert, besitzen Idle- und Absolut-Timeouts und werden beim Logout serverseitig invalidiert. Typische Angriffe: Session Fixation, Hijacking, vorhersagbare IDs und fehlender Logout.
Wie schützt man sich gegen Session-Token?
Schutzmaßnahmen gegen Session-Token kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 1018
Session-Management
Die Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
- attacks№ 1016
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.
- appsec№ 1015
Session Fixation
Angriff, bei dem der Angreifer vor dem Login eine ihm bekannte Session-ID im Browser des Opfers platziert, sodass sie nach der Authentifizierung für ihn gültig bleibt.
- appsec№ 983
Secure-Cookie-Flag
Cookie-Attribut, das den Browser anweist, das Cookie nur über HTTPS zu senden und so Klartext-Übertragung im Netzwerk zu verhindern.
- appsec№ 500
HttpOnly-Cookie-Flag
Cookie-Attribut, das den Zugriff über 'document.cookie' verbietet und so bei XSS den Diebstahl der Session deutlich erschwert.
- appsec№ 961
SameSite-Cookie
Cookie-Attribut, das steuert, ob Browser das Cookie bei site-übergreifenden Anfragen mitsenden — Werte Strict, Lax und None —, vor allem zur CSRF-Minderung.
● Siehe auch
- № 256CSRF-Token