[php] Sessions nicht sicher?

[Ulf Wendel]

Christian Hofmann wrote:
> > nehm doch statt sessionids uniqids. die kannst du dann z.b. in einem
> > cookie speichern, das sich beim schließen des browsers löscht (ohne
> > zeitangabe).
> 
> uniqid ist doch diese lange Nummer?

uniqid() ist nicht brauchbar. Nimm eine kryptographische Hashfunktion,
z.B. md5() mit einem zufälligen Wert (z.B. microtime + Systemwert +
geheimes Wort).

> Wenn ich das über cookies mache, dann ist das eine gute Alternative, aber
> was ist wenn keine Cookies möglich sind? ==> UNSICHER?

Ausspähbar, ja. Lifetime der Session klein halten ist die einzige
Variante. GMX war vor kurzem betroffen, weil keine Cookies benutzt
wurden. Kam mir gerade recht, weil ein Kunde über Cookies jammerte:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/hob-18.07.00-000/default.shtml&words=GMX

Ulf