Mailinglisten-Archive |
On Wednesday 10 July 2002 17:49, Alexander Steffan wrote: > Wenn ich mir aber vorstelle das mehrere User hinter einem Proxy > sitzen, und der eine dem anderen die Session-ID abguckt(wie auch > immer), weil der User kein Cookie hat und diese an die URL angehängt wird. > Dann könnte dieser andere User theorethisch den Login nutzen. Soweit mir bekannt ist, haben die Benutzer, sofern sie verschiedene Rechner benutzen, zumindest einen unterschiedlichen Port. Ansonsten könnte man die Unique ID, die Apache generiert in der Session und im Link übergeben. Die ist ja nur einmal gültig, kann also auch nur einmal überprüft werden. Ein User kann sich so nur noch von Link zu Link hangeln, ein Ausspähen der zweiten Id ist nur solange von Nutzen, wie der berechtigte User nicht erneut die Seite gewechselt hat. Ich würde allerdings eine Prüfung auf Session, IP und Port begrenzen, und wenn es denn eben wirklich sicherer werden muss, HTTPS verwenden. -- Hinrich Donner
php::bar PHP Wiki - Listenarchive