હેલો

Sobald ich als Angreifer eine Session-ID ergattert habe, erzeuge ich schnell viele Requests, sodass ich (aufgrund irgendeiner Heuristik) eine neue ID zugewiesen bekomme.

Das ist doch gut, quasi ein Frühwarnsystem.

Damit ist es dem tatsächlichen Nutzer nicht einmal mehr möglich auszuloggen. Ich habe die Session komplett übernommen, kann sie am Leben erhalten und der Nutzer ist ausgesperrt.

Und sobald ich als Nutzer wie von magischer Hand ausgeloggt werde (weil vmtl. ein technischer Fehler vorliegt), logge ich mich einfach erneut ein und deine ganze arbeit war umsonst, weil ich wieder eine ganz neue Session-ID erzeuge und dich damit aussperre. Und dann geht das Spielchen von vorne los.

Wenn du in der zwischenzeit das Passwort des betroffenen Kontos ändern konntest, weil es mit einer erratenen Session-ID möglich ist, dann ist das System fehlerhaft.

બાય