phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] 1/2 OT Session und Google Cache

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Mon Dez 4 15:48:01 CET 2006

Vorherige Nachricht: [php] 1/2 OT Session und Google Cache
Nächste Nachricht: [php] 1/2 OT Session und Google Cache
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Ringo,

Am Montag, 04. Dezember 2006 15:26 schrieb Ringo Großer:
> Laut Google Cache wurde der Eintrag mit Session-ID am 24.11.2006
> erfasst, sowie einige weitere Einträge über Links die nur ein
> angemeldeter User sehen kann.
> Über die Ursachen haben wir ja nun ausführlich spekuliert.

[...]

> Meine Schlussfolgerung insgesamt:
> Zwischen der Verwendung der Session-ID in meiner "erzwungenen"
> Sitzung am 03.12.2006 und der automatischen Vergabe an einen
> User am 04.12.2006 gegen Vormittag lag ausreichend Zeit, dass
> die alte Session aufgeräumt wurde. Der Zeitraum ist aber relativ
> kurz, damit sich diese ID wiederholt.

[...]

> Sicherlich sehe ich das Ganze auch als einen Zufall, aber der tritt
> eben auf. Mit der Session-ID im Cookie wird sich aber auch dieses
> Problem erübrigen. Eine Notwendigkeit, an der garbage time etwas zu
> ändern, sehe ich aber nicht.
>
> PS für den Lutz: Ich habe das HTTrack mal durchlaufen lassen. Wie zu
> erwarten liefert es sämtliche Links noch mit Session-ID (ich habe
> noch nicht umgestellt auf Cookies only), aber keine aktive Sitzung,
> sondern nur die Sicht für einen Gast, der in einem DIV das Formular
> zur Anmeldung sieht.

das PS ist sehr interessant, wenn man es mit dem Vorhergesagten in 
Zusammenhang setzt. Es wäre also folgende Argumentationskette möglich:

Google besucht - wie HTTrack - Deine Website und bekommt eine Session 
zugewiesen. Es indiziert als _Gast_ einige Seiten.

Einige Zeit später besucht Google Deine Website erneut und verwendet 
wieder dieselbe Session-ID. Zufällig existiert gerade auf dem Server 
eine Session eines angemeldeten Benutzers mit derselben Session-ID. Das 
hat zur Folge, daß Google den geschützten Bereich des Benutzers 
indiziert.

In der Folge entdeckt der Benutzer seine eigentlich geschützten Daten 
bei Google.

Angenommen das stimmt so, wäre damit geklärt, wie Google an die Daten 
gekommen ist! Damit wäre aber aus meiner Sicht aber auch klar, daß es 
in diesem Fall mit Garbage Collection nichts zu tun hat, weil mit einer 
schon einmal gültig gewesenen Session-ID auf eine aktuelle Session 
zugegriffen wird.

Mit der ganzen Sache habe ich nur ein Problem: Es kommt mir so 
unglaublich vor. Ich habe immer gedacht, daß eine Session-ID 
einigermaßen einmalig ist. Daß es innerhalb kurzer Zeit also mehrfach 
dieselbe Session-ID gegeben soll und dann auch noch zufällig zu dem 
Zeitpunkt, wo zunächst Google zum Indizieren kommt und später Du auf 
den Link im Google-Cache klickst, daß kommt mir einfach zu unglaublich 
vor. Zuviele Zufälle in kurzer Zeit sind dann doch wieder zu 
verdächtig, um an Zufälle zu glauben.

Es wäre also doch sehr interessant, wenn hier ein Listemitglied etwas 
mehr zu sagen könnte. Wie wahrscheinlich ist das obige Szenario? Wie 
eindeutig sind Session-IDs mathematisch bzw. 
wahrscheinlichkeitsrechnungsmäßig?


Viele Grüße
Lutz

Vorherige Nachricht: [php] 1/2 OT Session und Google Cache
Nächste Nachricht: [php] 1/2 OT Session und Google Cache
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive