Mailinglisten-Archive |
Hi Peter,
zuerst einmal:
Auf meinem Server funktioniert schon der Slash nicht:
Fatal error: Unable to open in Unknown on line 0
aber bei 1&1 bringen:
REQUEST_URI, REDIRECT_URL, SCRIPT_URI, SCRIPT_URL,
REDIRECT_SCRIPT_URI und REDIRECT_SCRIPT_URL - falsche Angaben
dagegen:
SCRIPT_NAME (ab docroot) - passende Angaben
PATH_TRANSLATED (ab root) - passende Angaben
SCRIPT_FILENAME (ab root) - passende Angaben
d.h. die 'boese' HTML-Mail (yep - ein weisser Schimmel) muss
zeitnah mit dem Besuch bei der Applikation erfolgen. Woher weiss
nun aber so ein 'boeser' Bube (gibt's auch boese Maedchen) wann
und wer bei wem surft ... <gruebel>
> (Aber wer drückt schon auf "Abmelden"... :-))
hmm,
muss man eigentlich auch nicht. Mein Server merkt, wenn Du
wegsurfst, den Browser schliesst oder das DSL aussteigt. Je nach
Geldbeutel in wenigen Sekunden, Minuten oder gar nicht ... ;-)
> 4. Ein Aufruf deiner Seite mit ?PHPSESSID=<gestohlene ID>
> und der Angreifer ist der angemeldete Nutzer.
niemals,
- bei wichtigen Seiten fehlen noch Time-Key und Page-Key
- und da er nicht den gleichen SSL-Key verwenden kann,
schafft er es nicht ...
Natuerlich muessen dafuer zwischen den einzelnen Keys
Relationen hergestellt werden, was wieder Geld kostet ...
m. b. G. Norbert
_____________________
normal: 02682-966898
Notruf: 0163-3613642
---------------------
e.o.m.
php::bar PHP Wiki - Listenarchive