phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Session IDs verstecken (Sicherheitsproblem)

Fabian Schmidt mailinglisten_(at)_jam-net.de
Thu, 15 Jun 2000 14:53:46 +0100

Previous message: [php] AW: [php] AW: [php] sessions in php4
Next message: [php] AW: [php] AW: [php] sessions in php4
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

>eine Website wird mit php4 session IDs geschützt. Nach der Eingabe von
>Username/Passwort (geprüft gegen eine mySQL Datenbank) wird der User nur
>noch anhand seiner session ID eindeutig identifiziert. 
>
>Durch eine zwingende Vorgabe wird die ID als Paramter (SID) in der URL und
>nicht als Cookie übergeben. Dadurch ist die ID jederzeit sichtbar. Und da
>liegt das Problem:
>
>Daher meine Frage: Kann ich irgendwie die Session ID verstecken oder an eine
>Maschine binden? Ohne Cookies. Ohne Client Side Scripts. Lauffähig auf NT
>und Linux.

wie wäre es mit einem "Dummy"-Frame, so daß nur die Frame-Datei als URL 
erscheint.

Previous message: [php] AW: [php] AW: [php] sessions in php4
Next message: [php] AW: [php] AW: [php] sessions in php4
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive