phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] SID-anzeige -moeglicherweise bug?

balrok schoenbach at airbytes.de
Sam Apr 14 02:56:39 CEST 2007

Vorherige Nachricht: [php] MySQL: Welche ID fehlt?
Nächste Nachricht: [php] SID-anzeige -moeglicherweise bug?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

guten tag,
ich hab mich mal bei der mailingliste registriert, da ich die leute vom
php.net-team nicht nerven wollte..
also folgendes:
seit php4 oder so wird die konstante SID nur gesetzt, wenn der benutzer
cookies deaktiviert hat
jetzt vor kurzem habe ich festgestellt, dass sie auch erstellt wird,
wenn eine neue session gestartet wird (ich lös die session mit:
session_unset();session_destroy(); auf und starte mit dem nächsten klick
gleich wieder eine neue)

da ich der meinung bin, dass session-ids in der url ein sicherheitsleck
sind (wenn benutzer sich urls austauschen wird ja die sessionid auch
ausgetauscht), sollte die SID auch nicht gesetzt sein wenn eine neue
session erstellt wurde..
nur bin ich mir nicht sicher, ob ich das gleich als bug melden sollte
oder ob es doch ein feature oder so ist?

Vorherige Nachricht: [php] MySQL: Welche ID fehlt?
Nächste Nachricht: [php] SID-anzeige -moeglicherweise bug?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive