Mailinglisten-Archive |
MalZeit, probiert mal paar dinge zum thema session validierung: Session= +IP +Browser-Identifikation +Timestamp (beginn-session) +Timestamp (letzter aufruf) anhand des letzten aufrufs lässt sich ein zeitlimit für die gültigkeit der session erstellen... und anhand des timestamps des beginns der session eine maximale laufzeit... und in einem string md5( IP . browserident ) eine relativ eindeutige bezeichnung des users... Wobei das alles nicht sonderbar sicher ist. Aber für eine "Normale"-Seite akzeptabel sein könnte... Da in einem Home-Netzwerk nach aussen jeder sie selbe IP hat und wenns ein und der selbe browser ist wirds ganz eng. Cookies waren bisher auch keine absolut sichere lösung da diese Manipuliert werden können... MfG, Tobias Simon Bienlein schrieb: > Hallo Martin, > > das ist eine gute Frage, da ich mich auch mit einem Login-System > beschäftige. > > >>Mich interessiert mehr, welche Daten vom Klient ich speichern/abfragen >>sollte, damit ich eine versehenliche weitergabe der sid an einen >>anderen Client ausschließen kann. >>z.B. eingeloggter Client sendet eine Url mit sid per Email an einen >>Kollegen oder postet den Link in einem Forum/Gästebuch etc. > > > Hier könnte man ja ein Cookie anlegen, dass z. B. die SessionID enthält. > Der Benutzer ist nur eingeloggt, wenn die übermittelte SessionID mit der > aus dem Cookie übereinstimmt. > > Durch dieses cookiebasierte System würde man aber vermutich verhindern, > dass Besucher ohne Cookieaktivierung die Seite besuchen. > > VG Simon > > >
php::bar PHP Wiki - Listenarchive