Mailinglisten-Archive |
On Wed, Jun 27, 2001 at 12:07:54PM +0200, Andreas Bender wrote: > > Angenommen, ich habe eine URL in den Bookmarks mit der SID "4711". > Jetzt ist wer anders auf dieser Seite am Surfen und hat auch wieder die > SID "4711" bekommen. > Nun komme ich und klicke auf meinen Bookmark und melde mich eben auf > dieser Homepage, wo schon ein anderer die "4711" hat ebenfalls mit der > "4711" an. > Werde ich dann als der andere erkannt? > Was kann ich dagegen machen? Ich arbeite mit den Sessions von PHP 4, > ohne Cookies. Dagegen laesst sich nichts machen. Wenn jemand eine derzeit gueltige Session-ID auf deinem Server kennt, kann er diese auch verwenden. Um solche Session-Uebernahmen zu vereiteln, sollte man Session-IDs moeglichst schwer voraussehbar machen. Eine Session-ID, die derzeit nicht gueltig ist, sollte vom Server abgewiesen werden (habs nicht nachgesehen, nehmen PHPlib und PHP4 vom Browser "diktierte" IDs an?), sodass Dein Bookmark bzw. die darin enthaltene Session-IDirgendwann so oder so ungueltig werden sollte. Gruss, Markus -- Spiegel-Leser wissen mehr. Fuer ein Semester-Abo! http://www.kawo2.rwth-aachen.de/~mdobel/semesterabo.html
php::bar PHP Wiki - Listenarchive