Mailinglisten-Archive |
Hi Folks! Vorab mal: Ja, ich habe ziemlich viele Mailinglisten, Artikel und Beitraege durchforstet. Doch in keinem gibt es eine Loesung fuer ein Problem: Wie kann ich verhindern, dass Sessions von anderen Usern uebernommen werden? Detaillierter: Habe eine Website und erzeuge eine Initiale Session-ID mit der der User arbeitet. Wird diese SID anderweitig verbreitet (zB per Mail weitergegeben) kann ein zweiter User (User2) mit dieser SID weiterarbeiten und uebernimmt die Daten von User1. Das ist nicht gut...;-( oder die URL wird gebookmarkt, oder noch schlimmer, verlinkt. Es wird fuer jeden User eine neue Sitzung mit dieser alten SID gestartet, anfangs noch leer, aber greifen mehrere User ueber einen Link auf die Site zu wird die Session immer schoen weiteregegeben. Laut vielen Experten laesst sich das nicht verhindern, das kann doch nicht sein. (Ein User kann auch eine eigene Session erzeugen, indem er nur als URL SID=xyz eingibt. Soweit ja nicht schlimm, denn es wird ja immer eine leere Session erzeugt.) Puretec hat einen Mechanismus drin, der, sobald man die Session manuell veraendert, einen redirect auf die Homepage macht, also muss es ja irgendwie gehen. Ein Loesungsweg waere doch, wenn man die Sessions, die als naechstes vergeben werden sollen, in einer Tabelle o.ä. speichert und jede neue Session aus diesem Pool nimmt und anderenfalls die Session ungueltig ist. Oder? Comments welcome... cya Nino Martincevic
php::bar PHP Wiki - Listenarchive