[php] Sessions nicht sicher?

[Laura Reising]

Hartmut Holzgraefe schrieb:

> Juri Smarschevski wrote:
> > Ja gut, ist doch kein Problem, ich markiere fuer mich die SESSID,
> > gehe halt ganz legal (ohne SESSID) auf die entprechenden Seite
> > (von mir aus sogar Login-Seite), damit wird mein Referer "richtig"
> > gesetzt, und dann tippe die Seite test.php?SESSID=.... ein.
> > Habe ich irgendwas uebersehen?
> ja, bei manueller Eingabe wird kein Referer gesetzt

Wenn ich das richtig verstanden habe, dann gibt es also keine
Sicherheit. Wer von seiner Seite, die per "...page.php?SESSID=..."
aufgerufen wurde z.B. ein Bild (Banner) von einem externen Server
aufruft, findet sich implizit damit ab, dass seine Session-ID per
HTTP-Referer an den externen Server mitgeliefert wird.

Aber was ist mit Juris Ausgangsfrage:
> Zitat:
> Mittlerweile haben die GMX-Techniker das Loch gestopft, indem
> sie die Übergabe der Referrer-URL verhindern.

> Hee? Wie gibt's das? Wie kann man die Referrer Uebergabe
> verhindern ?

Gibt es jetzt so eine Möglichkeit oder nicht?
Eigentlich wird der HTTP-Referer doch vom Browser mitgeschickt, oder?
Wie soll man denn auf den Browser einwirken?
Hat GMX gelogen?

Ciao
Laura