Je to exaktne stejnej princip, pri pouziti web session se taky nezjistuje zadny heslo, a proste se bere za to, ze autorizace prosla.
Ne, při použití session se předpokládá, že v dané session už byl konkrétní uživatel autentizován.
Stejný princip jako u té chyby FreeRADIUS by byl, kdyby si útočník vymyslel sessionID, odeslal požadavek (bez jména a hesla) na server, před získáním odpovědi spojení přerušil, pak se přesunul na jiný počítač a tam zadal stejné sessionID, a komunikace by prošla. Což u toho webu moc nedává smysl, protože tam se session vytvářejí proto, abyste věděl, který to je uživatel, takže mít autentizovanou session bez uživatele bude obvykle nemožné.
protoze user si to heslo (jako v tomhle pripade) meni prevazne proto, ze ma podezreni ze se na nej prihlasuje nekdo/nebo neco, co nema
To je pouze vaše domněnka.
S platnou session se muze vesele prihlasovat dal a protoze se session prevazne pri prihlaseni sama obnovuje ... tak libovolne dlouho a navzdy.
Session by samozřejmě mělo být možné zneplatnit, ale nemusí se to dělat automaticky se změnou hesla. Spíš by na to měl být mechanismus, který bude vyžadovat ještě něco, než jen znalost aktuálního hesla.
Trochu zapomínáte na to, jakou popisujete situaci. Pokud útočník uživateli změní heslo a tím ho zároveň odhlásí ze všech session, má uživatel smůlu a nadobro přišel o účet. Pokud útočník změní heslo, ale nezruší tím všechny session, původní uživatel je nejspíš někde ještě přihlášen a může přes tohle původní přihlášení svůj účet znova ovládnout, změnit heslo a zrušit útočníkovu session.
V tomhle konkretnim pripade je to jen okoreneno tim, ze se platna session vytvori jeste driv, nez dojde k autorizaci, a presto, ze k ni nedoslo, zustava platna.
Ne, to není „okořenění“, to je podstata chyby.
Defakto neni v clanku popsano, jestli oprava resi jen to preruseni spojeni, nebo jestli resi i tu zmenu hesla.
Změny hesla se to vůbec netýká. Autentizace v tomhle případě ani nemusí být jménem a heslem, jako autentizační protokol je možné zvolit třeba klientské certifikáty nebo jednorázová hesla.