phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Sessions nicht sicher?

Christian Froehler froehler_(at)_zv.fhg.de
Fri, 04 Aug 2000 13:21:28 +0200

Previous message: [php] Sessions nicht sicher?
Next message: [php] Sessions nicht sicher?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Björn Schotte wrote:
> 
> * Daniel Nemetz wrote:
> > dieses system ist ziemlich sicher, wer anderes meint gerne pm an mich.
> 
> Warum verwendet Ihr nicht erprobte und etablierte
> Systeme wie z.B. http://phplib.netuse.de/ ?

Das Referer-Problem betrifft auch phplib (und vermutlich alle anderen
Modelle, die die Session-ID an die URL hängen).

Zum Nachvollziehen: 

Im Netscape-Browser wird unter Preferences->Advanced der Cookie-Support
abgestellt.

Der Aufruf von 
http://phplib.netuse.de/showroom/index.php3 
liefert dann eine phplib-Seite, in der die Session-ID an die URL
angehängt wird.
Klickt man nun den Link zu http://www.php.net an, der sich rechts unten
auf der Seite befindet, dann hat der Administrator von php.net Deine
Sessionid im Logfile - unter dem Eintrag "Referer".

Wäre er böse, könnte er (manuell oder mit einem Skript) nun die Session
stehlen und zB. das Passwort ändern, wie es ja bekanntlich bei GMX
geschehen ist.

Nur phplib zu empfehlen hilft also nicht so viel.

mfg
Christian.

Previous message: [php] Sessions nicht sicher?
Next message: [php] Sessions nicht sicher?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive