[php] =?iso-8859-1?Q?AW:_=5Bphp=5D_Thema_Sicherheit:_Variablen=FCbergabe_in_d?= =?iso-8859-1?Q?er_URL=3F?= =?iso-8859-1?Q?er_URL=3F?=

[Gerald Grote]

> Hallo Liste,
>
> ich nochmal. Ich übergebe eine Session-ID in der URL als Anhängsel von
> einem PHP-Seite zur nächsten, da ich zu der Zeit der Übergabe noch
> kein HTML-Formular benutzen kann.
> Ist das eigentlich ein Sicherheitsrisiko bzgl. Hackern?

Das wird häufig so gemacht und ist normalerweise recht unproblematisch (wenn
du nicht gerade eine Homebanking-Site aufmachen willst). Du solltest darauf
achten, das die SessionIDs nach 10-30 min ohne Aktivität ungültig werden.
Ausserdem sollte sich der Benutzer selbst abmelden und die SessionID so
"entwerten" können. Ansonsten passiert es sehr schnell, das jemand die ID in
der History des Browsers findet und so ganz leicht Zugang erhält. Die URLs
werden einem ja durch die AutoVervollständigen-Funktion des Browsers
regelrecht aufgedrängt.

Ein weiterew Problem: Wenn deine Besucher direkt von deiner Seite auf eine
andere Seite surfen, erscheint deine URL als REFERER mitsamt SessionID in
dem Logfile der fremden Site. Dessen Webmaster könnte damit sofort
weitersurfen, wenn er schnell genug ist.

Auch wenn es Angesichts des schlechten Rufes von Cookies seltsam erscheint,
aber in deinem Fall sind Cookies die sichererer Alternative (zumindest
Session-Cookies, die nicht langfristig auf die Platte wandern). Bei vielen
Sites wird zunächst versucht, die SessionID als Cookie zu speichern. Falls
das nicht geht, greift man auf SessionIDs in der URL zurück.

Gerald.