Mailinglisten-Archive |
> wenn der User keine Cookies akzeptiert und man die > Session ID per GET mitschleifen lassen muss. Naja ich mache grundsätzlich alles _nur_ per 'get/post' was allerdings auch nur die session id ist. Den rest kann ich ja in der session speichern > Alle internen Links erhalten dann ja die Session ID als Parameter > uebergeben. Bei externen Links sollte man die ja eigentlich ueber ein > kurzes Jumpskript laufen lassen, an das die Session ID nicht uebergeben > wird. Das Jumpskript leitet dann einfach an den externen Link weiter. > Damit steht im Log im Referer dann auch keine Session ID mehr. Ich > hoffe, ich liege bis hierhin soweit richtig, auch wenn es technisch > vielleicht nicht 100% korrekt wieder gegeben ist. Doch ... hab ich bis jetzt zwar noch nicht wirklich gebraucht aber ich würde es warscheinlich genau so machen. > ....... > Ich koennte mir vorstellen, dass > dies auch eine kleine Luecke sein koennte, um Sessions zu uebernehmen. Dafür habe ich bei mir beim eröffnen der Session immernoch die IP Addresse mit in die Session geschrieben und überprüfe sie dann auf jeder seite erneut gegen die daten aus der session. Falls nicht stimmen sollte wird die session sofort zerstört. > Wie loest ihr das Problem? Keine externen Grafiken zulassen wäre mir ziemlich egal ob da sessionkrempel drinsteht oder nicht > Cookies fuer die Sessions voraussetzen? Ganz schlechte methode mit der man sich sehr viele Linux user und andere 'paranoide' ( :) ) User vergrault. > Oder mach ich mir gerade zu viele Gedanken... ;-) Kann man sehen wie mann will ;> /sascha
php::bar PHP Wiki - Listenarchive