phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

RE: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?

Andreas Demmer php at andreas-demmer.de
Die Jul 6 10:30:03 CEST 2004

Vorherige Nachricht: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nächste Nachricht: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Jürgen wrote:

> Wenn jetzt ein Besucher einen Link mit "seiner" Session-Id z.B. einem
> Forum postet könnte ja jemand anderes [wenn er schnell genug ist]
> sich in die Session "einschleichen" und die selbe Session-Id
> benutzten.
>
> Da ich auch ohne die Verwendung von Cookies die Sessionverwaltung
> verwende muss stellt sich jetzt die Frage welche Möglichkeiten habe
> ich die Session-Verwaltung über die angehängte Session-ID sicherer zu
> machen ?

Ich verwende eine kleine selbstgeschriebene Klasse, welche hauptsächlich
die PHP-eigene Sessionverwaltung mantelt, aber zusätzlich die Session an
die IP-Adresse koppelt. Das verhindert natürlich immernoch kein Session-
Hijacking bei internen Netzwerken, die über eine IP am Internet angebunden
sind, aber zumindest die Forenproblematik fällt damit schonmal flach.

Gruss,
Andreas

--
http://www.andreas-demmer.de

Vorherige Nachricht: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nächste Nachricht: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive