[php] Übernahme Session

[Laura Reising]

Hallo Liste,

ich habe bei einem aktuellen Projekt das Problem, daß gelegentlich
Session auf andere User übertragen werden.

Habe nun schon ein paar Mal eMails von Usern bekommen, die in einem
Formular Daten eines anderen Users stehen hatten (ich speichere die
User-Daten in der Session und setze sie bei wiederholtem Aufruf eines
Formulars automatisch ein).

Das kann ja nur bedeuten, daß die Session des anderen auf den
betroffenen User übergegangen ist. Nur wie? Session-Entführung in
welcher Form auch immer schließe ich in diesem Fall aus, da es sich bei
den Betroffenen um "normale" User handelt, die es wohl kaum noch melden
würden, wenn sie eine Session gehijackt hätten.

Das Problem ist schwierig zu lösen, da es mir bisher nicht gelungen ist,
das Problem nachzustellen. Bei mir verhält sich das Projekt wie
erwartet, selbst wenn ich vom gleichen Rechner mit zwei Browsern auf die
Site gehe, behält jeder Browser seine eigene Session. Die Session-ID
wird auch nirgendwo in einer Datei oder so gespeichert, so daß ein
anderer User durch Öffnen dieser Datei an die Session-ID geraten könnte.

Hat jemand schonmal ähnliche Probleme gehabt? Gibt es Lösungsvorschläge?

Ich habe diesen Denkansatz:
Mag es mit einem fehlerhaften Proxi zusammenhängen, der eine gecachte
Seite mit fremder Session-ID ausliefert?

Würde es etwas bringen Header mitzusenden, die explizit das Cachen
unterbinden sollen?

Würde es etwas bringen, den Gebrauch von Cookies für Sessions zu
deaktivieren?


Danke für Eure Posts!

Ciao
Laura