phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] use_trans_sid anstatt Cookies (iVm IESicherheitseinstellungen)

Ringo Großer swek at gmx.net
Don Jan 8 23:40:05 CET 2004

Vorherige Nachricht: [php] use_trans_sid anstatt Cookies (iVm IE Sicherheitseinstellungen)
Nächste Nachricht: [php] use_trans_sid anstatt Cookies (iVmIESicherheitseinstellungen)
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

hallo Andreas,

Andreas Brandl wrote:
> Soweit auch noch gut. Nur: Unser Kunde (und dessen Kunden) weigern
> sich wohl, ihre Einstellung des IE 6.0 unter Datenschutz zu
> verändern. Momentan ist die Einstellung auf "Mittel" und es kommt bei
> jedem Request im Login-Bereich eine Abfrage, ob der Cookie zugelassen
> werden soll oder nicht.

dürfte eigentlich nicht. bei stufe MITTEL (=standard) werden eigentlich
nur cookies von drittanbietern gesperrt (z.b. wenn durch eine frameset-
weiterleitung die domain nicht mit dem server übereinstimmt)
aber nehmen wir das erstmal so hin.

> Meine Frage nun:
> Wie kann ich verhindern, dass der Server Cookies "ausprobiert" bzw.
> von vornherein festlegen, dass er die SID per POST/GET überträgt?

cookie benutzung verbieten und trans_sid ermöglichen

> Ich weiß, dass es hier Einstellungsmöglichkeiten per INI_SET() gibt,
> jedoch habe ich die genauen Einstellungen auch nach längerem Testen
> nicht herausgefunden.

ini_set('session.use_cookies', '0');
session_start();

> Wie geht das von statten und was habt ihr für Erfahrungen mit
> Übertragungen per POST/GET?

dieser fallback sorgt dafür, dass sämtliche URLs die für GET und
POST definiert wurden von PHP automatisch um die session_id()
erweitert werden, damit diese auf den nächsten seiten wieder ankommt.
achtung: ein header('Location: '); muss manuell erweitert werden.
alternativ zum fallback kannst du natürlich alles von hand machen,
also manuell jeden link um die session_id() erweitern.

> Gibt es einen Nachteil, die SID so zu übertragen (wenn PHP mit
> --enable-trans-sid kompiliert wurde und man dadurch keinen Aufwand
> mit den URLs hat)?

sie ist dann im klartext in der URL enthalten und kann vom nutzer
per copy&paste weitergegeben werden. gibt er auf diese weise eine
aktive session weiter, die dazu noch sensible daten seiner aktuellen
sitzung enthält, stellt das ein sicherheitsrisiko dar.
kannst du ja nun den kunden entscheiden lassen, ob er lieber dieses
sicherheitsrisiko trägt (oder dich für die ausräumung dessen gut
bezahlt) oder ob er doch lieber in seinem browser mal auf JA
zum "bösen" cookie klickt. gerade dieses beispiel zeigt nämlich
wieder, dass cookies nicht "böse" sind, sondern ihre berechtigung
haben.

viel erfolg.

 regards, Ringo

Vorherige Nachricht: [php] use_trans_sid anstatt Cookies (iVm IE Sicherheitseinstellungen)
Nächste Nachricht: [php] use_trans_sid anstatt Cookies (iVmIESicherheitseinstellungen)
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive