Mailinglisten-Archive |
Hallo Ringo, erstmal vielen Dank für die Ausführungen, hilft mir sehr weiter! Ringo Großer wrote: > > > Gibt es einen Nachteil, die SID so zu übertragen (wenn PHP mit > > --enable-trans-sid kompiliert wurde und man dadurch keinen Aufwand > > mit den URLs hat)? > > sie ist dann im klartext in der URL enthalten und kann vom nutzer > per copy&paste weitergegeben werden. gibt er auf diese weise eine > aktive session weiter, die dazu noch sensible daten seiner aktuellen > sitzung enthält, stellt das ein sicherheitsrisiko dar. > kannst du ja nun den kunden entscheiden lassen, ob er lieber dieses > sicherheitsrisiko trägt (oder dich für die ausräumung dessen gut > bezahlt) oder ob er doch lieber in seinem browser mal auf JA > zum "bösen" cookie klickt. gerade dieses beispiel zeigt nämlich > wieder, dass cookies nicht "böse" sind, sondern ihre berechtigung > haben. > Dieses Sicherheitsrisiko ließe sich doch intern ausmerzen, wenn man praktisch die Sessions kontrolliert und die SID mit der Client-IP in der DB ablegt und bei jedem Aufruf prüft, ob beides noch übereinstimmt. Wenn nicht, wird die Session verworfen. Was gäbe es sonst noch zu tun bzw. welches Risiko besteht hier noch? Gruß, Andi
php::bar PHP Wiki - Listenarchive