[php] Session IDs verstecken (Sicherheitsproblem)

[Michael Krax (DE)]

Hallo,

eine Website wird mit php4 session IDs geschützt. Nach der Eingabe von
Username/Passwort (geprüft gegen eine mySQL Datenbank) wird der User nur
noch anhand seiner session ID eindeutig identifiziert. 

Durch eine zwingende Vorgabe wird die ID als Paramter (SID) in der URL und
nicht als Cookie übergeben. Dadurch ist die ID jederzeit sichtbar. Und da
liegt das Problem:

Schickt ein User die URL einem Freund (z.B. per ICQ) kann die andere Person
problemlos in die Session einsteigen, da keine Verbindung zur Maschine
selbst besteht. Ein Identifikation über IPs halte ich nicht für 100% sicher
bzw. möglich (Spoofing, IP Masquerading, etc können Probleme machen).

Eine Umstellung der Sicherheit über .htaccess ist auch nicht drin.
Mischlösung zwischen NT4 und Linux, darüber hinaus 4 verschiedene Domains.
Ausserdem darf kein Standard Browser Login Screen aufpoppen, alles muss über
forms und eine Datenbank gehen.

Daher meine Frage: Kann ich irgendwie die Session ID verstecken oder an eine
Maschine binden? Ohne Cookies. Ohne Client Side Scripts. Lauffähig auf NT
und Linux.

Danke,
Michael Krax