phpbar.de logo

Mailinglisten-Archive

[php] Zeitkontrolle

[php] Zeitkontrolle

Stefan Brueckmann liste at trick-box.de
Mit Okt 12 17:10:32 CEST 2005


Hallo Sebastian Mendel,

am Mittwoch, 12. Oktober 2005 16:57 schriebst du:

> > und zweitens sehe ich nicht, wie das Ganze funktionieren soll,
> > wenn in der Session auch die IP steht. Oder klaut die der Böse
> > Bube gleich mit?
>
> wieder etwas länger:
>
> ... die fehlt etwas die Fantasie, oder? mittels JavaScript kann er
> auch noch andere Sachen anstellen außer nur die SID irgendwohin zu
> schicken ...

Davon war aber nicht die Rede.

> http://de.wikipedia.org/wiki/Cross-Site_Scripting

Dort steht.
"Um sich vor einer XSS-Attacke zu schützen, ist es als Programmierer 
erforderlich, die einkommenden Daten zu überprüfen. "

Das mache ich, nur war das ja nicht das Thema.
Irgendwie habe ich das Gefühl das wir aneinander vorbei reden.

Grundsätzlich möchte ich bemerken dass man sicher nicht oft genug auf 
Scripting Attacken hinweisen kann und als solches "wiedereinmal" 
hätte ich es hinnehmen sollen.

Aber eigentlich ging es in dem Beispiel, auf das ich antwortete darum, 
dass jemand einen Session Cookie klaut.

Alles Gute
Stefan

-- 
In der Nacht hat der Mensch nur ein Nachthemd an, und darunter kommt 
gleich der Charakter.
Robert Musil

php::bar PHP Wiki   -   Listenarchive