phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Sessions: PHPSESSID-Änderungen

Garvin Hicking garvin_(at)_atrava.de
05 Aug 2000 19:00:00 +0100

Previous message: [php] echte filesize von entfernten dateien
Next message: [php] Re: =?iso-8859-1?Q?=5Bphp=5D_Sessions:_PHPSESSID-=C4nderungen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Salutations!


Zum laufenden Session-Sicherheits-Thread habe ich auch noch eine Frage:

Gegeben sei der Fall einer track_vars/trans-sid LAMP-Installation. Eine  
Seite erfordert Loginname+Passwort. Wenn jetzt jemand bei sich die Cookies  
deaktiviert hat, kann die SessionID ja nur durch URL weitergegeben werden,  
was PHP druch trans-sid ja automagisch macht.

Wie kann ich nun verhindern, daß ein Spaßvogel sich die URL kopiert und  
die SessionID nach Gutdünken manipuliert, um dann zufällig in einer  
gültigen Session zu landen? Bei einer Seite wie Amazon mit zigtausend  
parallelen Zugriffen muß das doch Probleme bereiten, wie verhindern die  
das?

Previous message: [php] echte filesize von entfernten dateien
Next message: [php] Re: =?iso-8859-1?Q?=5Bphp=5D_Sessions:_PHPSESSID-=C4nderungen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive