Mailinglisten-Archive |
>Bei PHP wird sehr gerne die MD5-Funktion zur Generierung einer Session-= ID >benutzt. Ich halte es f=FCr m=F6glich, da=DF dabei die Grundlage zur Be= rechnung >der hashes(=3Dsession-IDs) nicht ausreichend ist. Im Einzelfall k=F6nnt= e dies >dann zur =DCbernahme der Session f=FChren und sollte daher nicht zum Ei= nsatz bei >sicherheitsbewu=DFten Projekten kommen (neben den anderen M=F6glichkeit= en, >sessions-ids von fremden Rechnern =FCbernehmen zu k=F6nnen). Diese Diskussion aufgreifend: ist es dann beispielsweise sinnvoll, die per md5-generierten session-id um z.B. die Sekundenanzahl seit Jahresanfang zu erweitern - z.B. durch Anf=FCgen oder Addition=3F Letztendlich dreht man sich damit aber im Kreis: mangels "Einfallsreichtum" irgendwie eine eindeutige Session zu vergeben wird au= f den md5 zur=FCckgegriffen, der systembedingt dann doch nicht so eindeuti= g sein mag, also wird er wieder erweitert, ohne zu wissen, ob das stochastisch abgesichert ist. Hmmmm.... Wie macht das eigentlich WebObjects (nicht steinigen), das kann automatisch Sessionids vergeben, die zugegebenerma=DFen recht lang sind.= Das wird doch aber h=E4ufig f=FCr mission-critical Interaktionen benutzt= .. -- Oliver Michalak www.werk01.de / omich_(at)_werk01.de / 0177-75 75 393
php::bar PHP Wiki - Listenarchive