phpbar.de logo

Mailinglisten-Archive

[php] AW: [php] Sessions for runaways

[php] AW: [php] Sessions for runaways

Jens Benecke php_(at)_pinguin.conetix.de
Sun, 17 Sep 2000 16:51:39 +0200


On Sun, Sep 17, 2000 at 02:52:14PM +0100, Tzwenny wrote:
> Hi ;-)
> 
> Christian Toepp schrieb am 17.09.2000:
> >Das Währe ja Get, und das kann ich nicht verwenden, da dabei die
> >Session-ID in der Adresszeile sichtbar und damit auch veränderbar wäre.
> >Hab ich doch scho zig-mal geschriben :-)
> Und ich es genauso oft gelesen ;-)
> Korrigiert mich, wenn ich falsch liege, aber das Problem, dass die
> Session-ID veränderbar ist, lässt sich nicht lösen. Auch in einem Frame
> versteckt oder per Post sind sie relativ einfach zu faken.  Tatsache
> ist, alles was vom Clienten kommt (auch die Session-ID), kommt von
> jenseits der "Trust-Boundary" und ist potentiell 'infiziert'. 

Daher sollte man auch eine (möglichst lange) Zufallszahl als session-id
benutzen, und diese dann lokal zusammen mit den anderen session-daten
speichern.

das schlimmste, was ein User dann noch anrichten kann, ist wenn er die
session-id böswillig ändert, eine ungültige session vorgesetzt zu bekommen.
Die Chance 32bittigen Session-ids, die alle nur ein paar minuten lang
gültig sind, eine _andere_ noch gültige session zu erwischen, ist so gut
wie nicht vorhanden.
 

-- 
`Man sollte dem Verantwortlichen für ILOVEYOU alles     http://www.linuxfaq.de  
 mögliche antun, aber wahrscheinlich wird bloß       http://www.hitchhikers.de    
 seine Firma zweigeteilt." -- Usenet             http://www.pinguin.conetix.de     


php::bar PHP Wiki   -   Listenarchive