phpbar.de logo

Mailinglisten-Archive

[php] SID in den Bookmarks

[php] SID in den Bookmarks

Markus Dobel php_(at)_phpcenter.de
Thu, 28 Jun 2001 13:04:37 +0200


On Wed, Jun 27, 2001 at 12:07:54PM +0200, Andreas Bender wrote:
> 
> Angenommen, ich habe eine URL in den Bookmarks mit der SID "4711".
> Jetzt ist wer anders auf dieser Seite am Surfen und hat auch wieder die
> SID "4711" bekommen.
> Nun komme ich und klicke auf meinen Bookmark und melde mich eben auf
> dieser Homepage, wo schon ein anderer die "4711" hat ebenfalls mit der
> "4711" an. 
> Werde ich dann als der andere erkannt?
> Was kann ich dagegen machen? Ich arbeite mit den Sessions von PHP 4,
> ohne Cookies.

Dagegen laesst sich nichts machen. Wenn jemand eine derzeit gueltige
Session-ID auf deinem Server kennt, kann er diese auch verwenden. Um
solche Session-Uebernahmen zu vereiteln, sollte man Session-IDs
moeglichst schwer voraussehbar machen.

Eine Session-ID, die derzeit nicht gueltig ist, sollte vom Server
abgewiesen werden (habs nicht nachgesehen, nehmen PHPlib und PHP4 vom
Browser "diktierte" IDs an?), sodass Dein Bookmark bzw. die darin
enthaltene Session-IDirgendwann so oder so ungueltig werden sollte.

Gruss, Markus

-- 
Spiegel-Leser wissen mehr. Fuer ein Semester-Abo!
http://www.kawo2.rwth-aachen.de/~mdobel/semesterabo.html


php::bar PHP Wiki   -   Listenarchive