phpbar.de logo

Mailinglisten-Archive

AW: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?

AW: [php] Sicherheit der Session-Verwaltung mit an die URL angehänger ID ?

Christian Thiele c.thiele at ewerk.com
Die Jul 6 10:41:18 CEST 2004


Hallo,

>>, aber zusätzlich die Session an die IP-Adresse koppelt. Das verhindert natürlich immernoch kein Session-
>> Hijacking bei internen Netzwerken, die über eine IP am Internet angebunden
>> sind, aber zumindest die Forenproblematik fällt damit schonmal flach.

Ungünstig zum einen wegen Proxies, AOL ist da nur ein Beispiel und zum anderen trennen manche ISDN-Karten nach einer kurzen Standby-Zeit die Verbindung und bauen sie erst wieder auf wenn Daten angefordert werden. Und damit erhält selbiger Benutzer eine andere IP. (Beispielsweise macht das die AVM-Fritz-Software so)

Die Session müßte einfach beim Eintragen ins Forum rausgefiltert werden. Oder halt ein Hash über mehrere Parameter wie User-Agent, IP-Block...

--Christian

php::bar PHP Wiki   -   Listenarchive