Mailinglisten-Archive |
Hallo Sebastian Mendel, am Mittwoch, 12. Oktober 2005 16:57 schriebst du: > > und zweitens sehe ich nicht, wie das Ganze funktionieren soll, > > wenn in der Session auch die IP steht. Oder klaut die der Böse > > Bube gleich mit? > > wieder etwas länger: > > ... die fehlt etwas die Fantasie, oder? mittels JavaScript kann er > auch noch andere Sachen anstellen außer nur die SID irgendwohin zu > schicken ... Davon war aber nicht die Rede. > http://de.wikipedia.org/wiki/Cross-Site_Scripting Dort steht. "Um sich vor einer XSS-Attacke zu schützen, ist es als Programmierer erforderlich, die einkommenden Daten zu überprüfen. " Das mache ich, nur war das ja nicht das Thema. Irgendwie habe ich das Gefühl das wir aneinander vorbei reden. Grundsätzlich möchte ich bemerken dass man sicher nicht oft genug auf Scripting Attacken hinweisen kann und als solches "wiedereinmal" hätte ich es hinnehmen sollen. Aber eigentlich ging es in dem Beispiel, auf das ich antwortete darum, dass jemand einen Session Cookie klaut. Alles Gute Stefan -- In der Nacht hat der Mensch nur ein Nachthemd an, und darunter kommt gleich der Charakter. Robert Musil
php::bar PHP Wiki - Listenarchive