[php] Session-Theorie

[Peter Petermann]

> > welche Möglichkeiten gibt es, sicherzustellen daß die SessionID nicht von
> > anderen Leuten verwendet werden kann?
> Cookies oder GET-Vars, nicht erratbar - wer sollte jetzt an eine
> SessionID von jemand anders kommen?
gibt mittel und wege

> > Kann man die SessionID von der IP eines
> > Users abhängig amchen oder kann das Probleme geben?
> Keine gute Idee, da nicht eindeutig.
right
einfacher ist es so wie wir das machen
die authentication nicht in der Session abspeichern
sondern dafür getrennt davon eine http authentication verwenden
so kann jemand zwar an die session id rankommen,
damit jedoch nichts anfangen, da er auf der seite nicht authentifiziert ist.
intressant ist es wenn es jemand ist der entsprechende zugangsrechte eh hat,
und nur auf einem anderen User unfug anstellen will,
dagegen hilft
die Authentication zusätzlich in der Session zu speichern, und die Session mit
der httpauth vergleichen,
und nur wenn die HTTPAuth stimmt und die Session zu dieser authentication gehört
eine Seite ausspucken

ansonsten ne fehlermeldung,
und gut ist


Gruss,
Peter "[DiSAStA]" Petermann

--
*ZIMT - where PHP meets needs*
www.cyberfly.net - webmaster_(at)_cyberfly.net
www.fist-center.de - webmaster_(at)_fist-center.de
www.phpug.de - peter_(at)_phpug.de