[php] =?iso-8859-1?Q?Re:_=5Bphp=5D_Re:_=5Bphp=5D_Thema_Sicherheit:_Variab?= =?iso-8859-1?Q?len=FCbergabe_in_der_URL_URL?= =?iso-8859-1?Q?len=FCbergabe_in_der_URL_URL?=

[Cyrill Schumacher]

> Meist wird die SessionID vor nicht nach dem Eingeben des Passwortes
erzeugt
> und in der Session, nicht in der URL abgelegt.
> Grund dafür ist die Möglichkeit die ID zu übernehmen - zB über den
Referer.
> Wenn du willst schicke ich dir gerne meine Screenshot von
> der 7val-Seite, bei dem IE,NS und Mozilla die selbe Session-ID haben.
>
> Man könnte nun kurz den Gedanken aufgreifen die IP des Users zu speichern.

hast du dazu mehr infos wie die einem surfer bei unterschiedlichen
browsern die selbe session verpassen können ????
Ich denke, dass man dabei doch die IP speichern muss, um
herauszufinden, dass Kollege Meier mit IE und NS gleichzeitig
auf der Seite rumpfuscht. Das ganze soll ohne Passworteingabe
funzen :-)
Wie sieht es eigentlich aus mit der MAC Adresse der Netzwerkkarte ?
Kann php diese auch eines Tages auslesen sowohl vom Server als auch vom
Surfer ???

IP Adresse speichern: Dies kann man sehr schön bei den User Online Countern
sehen, wenn einer von t-online reingeschneit kommt und mit jedem
weiteren Klick ist ein User mehr auf der Homepage...

kiri