Mailinglisten-Archive |
> > Das ist auch nicht korrekt. Die Session-ID geht auf dem > _Rechner_ (korrekterweise auf dem Browser, der gerade beendet > wird) des Anwenders verloren. Das ändert aber nichts daran, > dass auf dem Server noch ein Eintrag mit der gültigen > Session-ID existiert. Und wenn der User aber den Browser Ja, aber wie lange ist die denn gueltig? Eine solche Gueltigkeit sollte man doch wesentlich beschraenken, beispielsweise auf eine halbe Stunde oder eine sonstige fuer die Anwendung akzeptable Zeit. Dann kann derjenige, der mit dieser Session-ID nach dieser Zeitspanne einen Zugriff versucht, nichts damit anfangen, es bleibt der Anwendung ueberlassen, wie sie darauf reagiert, beispielsweise mit der Generierung einer neuen Session-ID oder einer "netten" Meldung usw. > nicht schließt, sondern z.B. eine externe URL ansteuert, wird > die aktuelle URL (die die Session-ID enthält) im Referer > mitgeliefert. Dass Derartiges herauszufiltern ist, versteht sich von selbst. Ebenfalls ist bei sicherheitskritischen Anwendungen eben ein "Logout"-Button einzubauen, der die Gueltigkeit der Session beendet. Nun muss nur noch der User "geimpft" werden, damit er diese Moeglichkeit auch benutzt. Aber das sollte eigentlich jeder verstehen, der ein wenig Interesse an der Sicherheit seiner Daten hat. Wo ist also das Problem? Beste Gruesse, Ralf -- : www : http://www.ruby-center.de : http://der.leitweganzeiger.de : mail : ralf_(at)_ruby-center.de ::: rg_(at)_leitweganzeiger.de
php::bar PHP Wiki - Listenarchive