phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

Re: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?

Sebastian Mendel lists at sebastianmendel.de
Die Jul 6 10:38:11 CEST 2004

Vorherige Nachricht: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nächste Nachricht: AW: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Andreas Demmer schrieb:

>>Wenn jetzt ein Besucher einen Link mit "seiner" Session-Id z.B. einem
>>Forum postet könnte ja jemand anderes [wenn er schnell genug ist]
>>sich in die Session "einschleichen" und die selbe Session-Id
>>benutzten.
>>
>>Da ich auch ohne die Verwendung von Cookies die Sessionverwaltung
>>verwende muss stellt sich jetzt die Frage welche Möglichkeiten habe
>>ich die Session-Verwaltung über die angehängte Session-ID sicherer zu
>>machen ?
> 
> Ich verwende eine kleine selbstgeschriebene Klasse, welche hauptsächlich
> die PHP-eigene Sessionverwaltung mantelt, aber zusätzlich die Session an
> die IP-Adresse koppelt. Das verhindert natürlich immernoch kein Session-
> Hijacking bei internen Netzwerken, die über eine IP am Internet angebunden
> sind, aber zumindest die Forenproblematik fällt damit schonmal flach.

funktioniert aber nicht bei Proxys mit load-balancing (AOL)


-- 
Sebastian Mendel

www.sebastianmendel.de www.warzonez.de www.tekkno4u.de www.nofetish.com
www.sf.net/projects/phpdatetime        www.sf.net/projects/phptimesheet

Vorherige Nachricht: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nächste Nachricht: AW: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive