phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] use_trans_sid anstatt Cookies (iVm IESicherheitseinstellungen)

Ringo Gro�er swek at gmx.net
Don Jan 8 23:40:05 CET 2004

Vorherige Nachricht: [php] use_trans_sid anstatt Cookies (iVm IE Sicherheitseinstellungen)
N�chste Nachricht: [php] use_trans_sid anstatt Cookies (iVmIESicherheitseinstellungen)
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

hallo Andreas,

Andreas Brandl wrote:
> Soweit auch noch gut. Nur: Unser Kunde (und dessen Kunden) weigern
> sich wohl, ihre Einstellung des IE 6.0 unter Datenschutz zu
> ver�ndern. Momentan ist die Einstellung auf "Mittel" und es kommt bei
> jedem Request im Login-Bereich eine Abfrage, ob der Cookie zugelassen
> werden soll oder nicht.

d�rfte eigentlich nicht. bei stufe MITTEL (=standard) werden eigentlich
nur cookies von drittanbietern gesperrt (z.b. wenn durch eine frameset-
weiterleitung die domain nicht mit dem server �bereinstimmt)
aber nehmen wir das erstmal so hin.

> Meine Frage nun:
> Wie kann ich verhindern, dass der Server Cookies "ausprobiert" bzw.
> von vornherein festlegen, dass er die SID per POST/GET �bertr�gt?

cookie benutzung verbieten und trans_sid erm�glichen

> Ich wei�, dass es hier Einstellungsm�glichkeiten per INI_SET() gibt,
> jedoch habe ich die genauen Einstellungen auch nach l�ngerem Testen
> nicht herausgefunden.

ini_set('session.use_cookies', '0');
session_start();

> Wie geht das von statten und was habt ihr f�r Erfahrungen mit
> �bertragungen per POST/GET?

dieser fallback sorgt daf�r, dass s�mtliche URLs die f�r GET und
POST definiert wurden von PHP automatisch um die session_id()
erweitert werden, damit diese auf den n�chsten seiten wieder ankommt.
achtung: ein header('Location: '); muss manuell erweitert werden.
alternativ zum fallback kannst du nat�rlich alles von hand machen,
also manuell jeden link um die session_id() erweitern.

> Gibt es einen Nachteil, die SID so zu �bertragen (wenn PHP mit
> --enable-trans-sid kompiliert wurde und man dadurch keinen Aufwand
> mit den URLs hat)?

sie ist dann im klartext in der URL enthalten und kann vom nutzer
per copy&paste weitergegeben werden. gibt er auf diese weise eine
aktive session weiter, die dazu noch sensible daten seiner aktuellen
sitzung enth�lt, stellt das ein sicherheitsrisiko dar.
kannst du ja nun den kunden entscheiden lassen, ob er lieber dieses
sicherheitsrisiko tr�gt (oder dich f�r die ausr�umung dessen gut
bezahlt) oder ob er doch lieber in seinem browser mal auf JA
zum "b�sen" cookie klickt. gerade dieses beispiel zeigt n�mlich
wieder, dass cookies nicht "b�se" sind, sondern ihre berechtigung
haben.

viel erfolg.

 regards, Ringo

Vorherige Nachricht: [php] use_trans_sid anstatt Cookies (iVm IE Sicherheitseinstellungen)
N�chste Nachricht: [php] use_trans_sid anstatt Cookies (iVmIESicherheitseinstellungen)
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive