in fremden Account reinkommen?

**Tpercon** · 09.09.2002, 18:26

Falls es da wirklich diesen Unsicherheitsfaktor gibt, würde mich das auch mal interessieren. Benutze auch session.

Gruß

**beebob** · 09.09.2002, 18:35

hi!

das hört sich nach nem problem an, das ich mit dem php-shop phorSale hatte. benutzt du ihn zufällig auch oder weisst du, wie die userid bei dir erzeugt wird? dort könnte nämlich dein problem liegen.

ohne code allerdings blosse mutmassung.

beebob

**beebob** · 09.09.2002, 18:58

Bist Du da Liebling?

**Campus** · 09.09.2002, 20:36

ich fang auch grad erst an mit sessions zu arbeiten, hmm, hatte auch meine bedenken, wenn die session id über die url weitergeleitet wird, das wenn der link irgendwie nem freund geschickt wird, daß der dann auf die daten der session mit der selben session id zgreifen kann, aber hab das mal ausprobiert, aber hat gott seinfank nicht funktionert

**panta** · 09.09.2002, 20:41

die php-sessions sind, sobald sie in z.B. einem forum (oder überall, wo links gepostet werden können) verwendet werden, aber nicht in cookies gespeichert werden, relativ unsicher.

ich würde dir empfehlen, eine art session-managment zu schreiben, dass z.B. die ip und ähnliche, user-spezifische daten vergleicht. sollten sie bei einer id abweichen, ist sie ungültig...

**Campus** · 10.09.2002, 10:10

emm, reicht es, wenn ich die IP in die session speichere und die jedesmal bei einem seitenaufruf mit der aktuellen vergleiche ?

**panta** · 10.09.2002, 10:18

ja.

ich würde aber noch die client-daten dazunehmen.

**artemis** · 10.09.2002, 10:35

warum benützt ihr nicht SID? Wenn PHP mit enable-trans-sid kompiliert wurde, müsst ihr die session id nicht weitergeben in der url, sondern wird automatisch verdeckt weitergegeben. Danach muss nur session_start(SID); gemacht werden in der aufgerufenen page.

checkt mal eure php.ini ob enable-trans-sid = 1 definiert ist

gruss
artemis

**tj99de** · 10.09.2002, 10:42

Hi!
Wenn Du in einem cookie die UserID speicherst und dann bei jedem Seitenaufruf vergleichst, ob die SessionID und die UserID zum selben Datensatz gehören, sollte das Problem nicht mehr auftreten.
cu tj99de

**panta** · 10.09.2002, 10:46

Original geschrieben von tj99de
Hi!
Wenn Du in einem cookie die UserID speicherst und dann bei jedem Seitenaufruf vergleichst, ob die SessionID und die UserID zum selben Datensatz gehören, sollte das Problem nicht mehr auftreten.
cu tj99de

da stellt sich dann nur noch das problem, dass nicht jeder user cookies akzeptiert...

**tj99de** · 10.09.2002, 12:01

Das ist dann das Problem des Users, wenn jemand bei einem login keinen Cookie akzeptiert, dann kann er sich halt nicht einloggen.
Sieh Dir mal die ganzen großen Freemailanbieter an, da mußte auch immer nen Cookie akzeptieren...

**BlobBanana** · 10.09.2002, 13:46

Ein Problem ist das aber nicht unbedingt ... sobald die session "merkt" das sie keinen Cookie fuer die Session-ID setzen kann, haengt sie die ID an die URL ran.
Das kann man aber auch in der php.ini irgendwie abschalten das die session das macht. Nur keine Ahnung wie.

**Liebling** · 10.09.2002, 15:59

Hallo,

danke für die Antworten, werde es wohl mit session + Cookies probieren!

Original geschrieben von beebob
hi!

das hört sich nach nem problem an, das ich mit dem php-shop phorSale hatte. benutzt du ihn zufällig auch oder weisst du, wie die userid bei dir erzeugt wird? dort könnte nämlich dein problem liegen.

ohne code allerdings blosse mutmassung.

beebob

Nein, benutze ich nicht, ist ein "ganz normales" Script mit Login per Session und Userdaten (eMail-Adresse = Loginname, Passwort) werden halt in mySQL gespeichert, abgefragt und in Session tramsportiert...

Original geschrieben von panta
die php-sessions sind, sobald sie in z.B. einem forum (oder überall, wo links gepostet werden können) verwendet werden, aber nicht in cookies gespeichert werden, relativ unsicher.

ich würde dir empfehlen, eine art session-managment zu schreiben, dass z.B. die ip und ähnliche, user-spezifische daten vergleicht. sollten sie bei einer id abweichen, ist sie ungültig...

Aber solange ein User sich ordnungsgemäß ausloggt (d.h. Session zerstört), kann doch nix passieren?
Also könnte es bei meinem User, der in den fremden Account reingekommen ist, so gewesen sein, dass er in noch bestehende Session von einem anderen reingekommen ist oder die selbe Session ID zugewiesen bekommen hat

hört sich ein bißchen unrealistisch an

Aber wie gesagt: Werde es mit Session + Cookie probieren und so das ganze hoffentlich sicherer machen

Sven

in fremden Account reinkommen?