[php] =?iso-8859-1?Q?Re:_=5Bphp=5D_Thema_Sicherheit:_Variablen=FCbergabe_in_der?= =?iso-8859-1?Q?_URL?= =?iso-8859-1?Q?_URL?=

[Thomas Weinert]

Hi

> >> - Passwoerter koennen im Browser zwar gespeichert werden,
> >>   bringt jedoch nix, da die URL einmalig ist
> > Das eine hat mit dem Anderen nichts zu tun.
> bevor ich etwas schreibe, kontrolliere ich oft,
> ob das sich auch wirklich so verhaelt, wie ich annehme.
> - solltest Du auch machen.
>
> Logis, Passworter, Formularinhalte werden zur URL vom Browser
> gespeichert. Da diese eine Unique-ID enthaelt, muessen bei einem
> spaeteren Besuch alle Werte vom User neu eingetippt werden.

Meist wird die SessionID vor nicht nach dem Eingeben des Passwortes erzeugt
und in der Session, nicht in der URL abgelegt.
Grund dafür ist die Möglichkeit die ID zu übernehmen - zB über den Referer.
Wenn du willst schicke ich dir gerne meine Screenshot von
der 7val-Seite, bei dem IE,NS und Mozilla die selbe Session-ID haben.

Man könnte nun kurz den Gedanken aufgreifen die IP des Users zu speichern.
dadurch wäre dies eingeschränkt. Ein solches Vorgehen verbietet sich
jedoch bei der Nutzung von Proxies, da diese während der Benutzung
wechseln können.

Der IE ist in der Lage Eingaben zu speichern - auch Passwörter.
Diese sind bei einem erneuten Besuch aus einer Combobox auswählbar.
Ein Feature welches man durchaus für normale Eingaben, nicht jedoch für
Passwörter nutzen sollte. Da sonst jeder mit Zugriff auf diesen
PC auch Zugriff auf diesen Bereich hat.

Thomas Weinert