Mailinglisten-Archive |
Hallo Andreas, Am Montag, 04. Dezember 2006 15:57 schrieb Andreas Ahlenstorf: > Am 04.12.2006 um 13:55 schrieb Lutz Zetzsche: > > Kannst Du mir mal bitte auf die Sprünge helfen, wie das alles > > zusammenpaßt? :-) > > Äh, ich habe die Sache nicht verfolgt, aber wenn ich das richtig > gesehen habe, ist das Problem, dass immer wieder Sessions mit der > gleichen ID auftauchen und es dafür mal 'ne Sitzung gibt und mal > nicht. Also: Weil man PHP Session-IDs vorgeben kann, kriege ich immer > wieder die gleiche ID. Da das Teil in Google drin ist, kommen Leute > mit der ID auf die Seite. Meldet sich einer von denen an, hat die ID > wieder eine offene Sitzung. Mysterium gelöst. *PATSCH* Logisch. ;-) Ich habe mich die ganze Zeit gefragt, wer der Angreifer ist, dabei ist es in Deinem Szenario der Anwender selbst mit freundlicher Hilfe von Google. Das wäre natürlich eine sehr einleuchtende Erklärung. Sollte sie zutreffen, kann Ringo das sicherlich sehr schnell klären. > Wenn ich das Problem > falsch verstanden habe, verschwinde ich wieder und halte die Klappe. > Ich wollte mich sowieso nur dazu äussern, wie es kommt, dass immer > wieder die gleiche Session-ID vorkommt und dass es nix mit > Kollisionen von MD5 zu tun hat. Nene, ist schon in Ordnung. ;-) Ich hatte es nur noch nicht verstanden, und weil Du nie was einfach so schreibst, habe ich nochmal nachgefragt, weil ich mir zwar zu dem Thema eine Menge Gedanken mache, aber nicht soviel praktische Erfahrung damit habe. Die Argumentation mit den Kollisionen kam mir auch etwas theoretisch vor, weil die Wahrscheinlichkeit einfach so gering ist. Wie gesagt: Einfach zuviel Zufälle, um an Zufall zu glauben. ;-) Ich denke, wir kriegen die Ursache des Problems allmählich eingekreist. :-) Viele Grüße Lutz
php::bar PHP Wiki - Listenarchive