Mailinglisten-Archive |
Hallo Sebastian, Sebastian Mendel wrote: > Session-ID nur per Cookie verwenden: Benutzer die Cookies für so etwas > ablehnen sind paranoid und das widerspricht dem übertragen der > Session-ID per URL ja erst recht - also ist diesen Benutzern eh am > besten geholfen sie kommen gar nicht rein! ACK. So werd ich es jetzt auch umsetzen. > Ändern der Session-ID: > http://php.net/session_regenerate_id > nach jedem Session-Start > > Sichern der Session ID: > session.cookie_httponly boolean > > session.hash_function = 1 > "session.hash_function integer > session.hash_function allows you to specify the hash algorithm used to > generate the session IDs. '0' means MD5 (128 bits) and '1' means SHA-1 > (160 bits). Note: This was introduced in PHP 5." Arbeite leider noch unter PHP 4. Und mit welchem Ziel würde ich die Art der Session-ID ändern? > session.hash_bits_per_character = 6; > "session.hash_bits_per_character integer > session.hash_bits_per_character allows you to define how many bits are > stored in each character when converting the binary hash data to > something readable. The possible values are '4' (0-9, a-f), '5' (0-9, > a-v), and '6' (0-9, a-z, A-Z, "-", ","). Note: This was introduced in > PHP 5." Ebenfalls. Und beides scheint mir aber nicht das Problem zu lösen, dass Session-IDs sich offensichtlich wiederholen. In meinem Fall müsste als jemand, der die Session-ID aus dem Google Cache kennt nur regelmäßig den Link ausführen, damit er irgendwann wieder in eine aktive Session einsteigen kann, welche die gleiche ID benutzt. Mit session.use_only_cookies ON und session.use_trans_sid OFF sollte das ja dann aber auch kein Problem mehr sein. regards, Ringo
php::bar PHP Wiki - Listenarchive