lichtenauer
08-02-2006, 13:07
Hallo,
Beispiel: http://www.php-seite.de/index.php?sid=d323538h3hgghj2&s=2&mid=765
Besteht die Möglichkeit die Adresszeile nach php-seite.de abzuklemmen? Das heißt, wir möchten alles verbergen.
Es gibt Bankseiten und Kassenseiten, die auf diese Art funktionieren. Leider weiß ich nicht wie. Wie schaffen Sie es die Parameter und vor allem die Session-Id dennoch zu übertragen? Muss ich mir eine serverseitige Status-Engine schreiben mit Status-Tables?
Cookies und JavaScript nicht erlaubt.
Über technische Anregungen wäre ich sehr dankbar.
1. frames
2. java-applet
3. mod_rewrite (wenn das überhaupt so geht)
gruß
peter
Original geschrieben von lichtenauer
Das heißt, wir möchten alles verbergen.
Warum möchtet ihr das?
Es gibt Bankseiten und Kassenseiten, die auf diese Art funktionieren. Leider weiß ich nicht wie. Wie schaffen Sie es die Parameter und vor allem die Session-Id dennoch zu übertragen?
Üblicher- und idiotischerweise wird ein Frameset über die komplette Seite gestülpt, so dass der Nutzer in der Adresszeile immer nur den Domainnamen sieht.
Hochgradiger Schwachsinn.
lichtenauer
08-02-2006, 14:37
wahsaga: Mittelmäßiges Rumgezeter. Arbeite an deiner Sprache.
Frames dienen ja in diesem Sinne nur der Optik. Ich möchte jedoch alles, nach Möglichkeit, verbergen, vor allem um den einfachen Missbrauch nicht zu fördern. Die Variablennamen, die vor allem in älteren Versionen der Applikation offenkundiger sind, sollen nicht mal soeben verwendet werden, wies dem Anwender passt.
Zwar werden alle falschen Abfragen durch StoreProcedures und Roles verhindert, also nützt eine Id-Parameteränderung wenig, es ist dennoch unschön, ist die interne Struktur so offensichtlich einsehbar.
Hier Frage: Was beinhaltet die Session-ID für einen Wert? Sieht nach einem hexadezimalen Wert aus. Wie in etwa kann ich mir diesen Wert vorstellen? Nicht, dass jemand durch einfache Inkrementierung des Wertes und Umwandlung in Hex die Sessions durchgehen kann. Obwohl ich dieses mal grob ausschließe.
Alternative: Da ich eine Session habe, in der ohnehin vieles gespeichert wird, könnte ich alle Parameter wie Actions mittels Session verarbeiten. Die genannte Status-Engine, die bereits teilweise implementiert ist.
Original geschrieben von lichtenauer
Mittelmäßiges Rumgezeter. Arbeite an deiner Sprache.
Willste 'n Lolli?
Frames dienen ja in diesem Sinne nur der Optik.
Und der allgemeinen Verschlechterung der Seite.
Ich möchte jedoch alles, nach Möglichkeit, verbergen, vor allem um den einfachen Missbrauch nicht zu fördern.
Es ist doch absolut egal, mit welchen Parametern ein Script aufgerufen wird.
Zwar werden alle falschen Abfragen durch StoreProcedures und Roles verhindert, also nützt eine Id-Parameteränderung wenig,
Na also - wo ist dann das Problem?
es ist dennoch unschön, ist die interne Struktur so offensichtlich einsehbar.
Wie meinen?
Hier Frage: Was beinhaltet die Session-ID für einen Wert? Sieht nach einem hexadezimalen Wert aus. Wie in etwa kann ich mir diesen Wert vorstellen? Nicht, dass jemand durch einfache Inkrementierung des Wertes und Umwandlung in Hex die Sessions durchgehen kann.
Wenn du vom Standard-Sessionmechanismus von PHP redest: Der ist gegen "erraten" der SID hinreichend sicher.
