Mailinglisten-Archive |
On Sun, Sep 17, 2000 at 02:52:14PM +0100, Tzwenny wrote: > Hi ;-) > > Christian Toepp schrieb am 17.09.2000: > >Das Währe ja Get, und das kann ich nicht verwenden, da dabei die > >Session-ID in der Adresszeile sichtbar und damit auch veränderbar wäre. > >Hab ich doch scho zig-mal geschriben :-) > Und ich es genauso oft gelesen ;-) > Korrigiert mich, wenn ich falsch liege, aber das Problem, dass die > Session-ID veränderbar ist, lässt sich nicht lösen. Auch in einem Frame > versteckt oder per Post sind sie relativ einfach zu faken. Tatsache > ist, alles was vom Clienten kommt (auch die Session-ID), kommt von > jenseits der "Trust-Boundary" und ist potentiell 'infiziert'. Daher sollte man auch eine (möglichst lange) Zufallszahl als session-id benutzen, und diese dann lokal zusammen mit den anderen session-daten speichern. das schlimmste, was ein User dann noch anrichten kann, ist wenn er die session-id böswillig ändert, eine ungültige session vorgesetzt zu bekommen. Die Chance 32bittigen Session-ids, die alle nur ein paar minuten lang gültig sind, eine _andere_ noch gültige session zu erwischen, ist so gut wie nicht vorhanden. -- `Man sollte dem Verantwortlichen für ILOVEYOU alles http://www.linuxfaq.de mögliche antun, aber wahrscheinlich wird bloß http://www.hitchhikers.de seine Firma zweigeteilt." -- Usenet http://www.pinguin.conetix.de
php::bar PHP Wiki - Listenarchive