[php] Session-ID-Blues

[Wolfgang Huebner]

Hi Sascha,

>> <a href="einlink.php3?session=<?echo $sid;?>">
>> Das wäre soweit auch akzeptabel, weil die ID mit md5 und uniqid IMHO nicht
>> so einfach zu knacken ist. Aber wenn jemand diese Seiten verlässt, bekommt
>> der nächste Server die Session-ID als Referer mit.

> Das wurde auf der PHPLIB Liste einige Male diskutiert. Soweit ich

Wo Du die PHPLIB ansprichst habe ich mich endlich ein wenig damit befasst (=
entpackt und etwas Doku gelesen). Mir scheint, daß "Auth" die Lösung sein
könnte. Ich muß User anhand der ID sowieso eindeutig identifizieren (Name,
email usw. aus einer MySQL-Tabelle) will/kann aber keine normales
Standard-Anmeldefenster benutzen.
Wenn ich die Doku soweit richtig verstanden habe, dann kann ich mit Hilfe
der PHPLIB einen User mit einer selbst gestalteten Loginseite "so richtig"
authentisieren, ihm eine Session geben und jeder andere, der die Session aus
einem Referer oder Proxy gestohlen hat kommt trotzdem nicht ran, weil
er/sie/es eben nicht authentisiert ist. Stimmt das so? Falls ja -> genial.

Wobei ich mich dann frage wozu ich noch eine SessionID bräuchte... aber
darüber will ich im Moment gar nicht nachdenken. ;-)


ciao, Wolfgang