Thema: Login Frage
Einzelnen Beitrag anzeigen
  #11 (permalink)  
Alt 27-04-2008, 12:51
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Aus einem Artikel, von mir, zu dem Thema..
Zitat:
Der neugierige Domainnachbar
Klar, der Server Nachbar hat auch PHP und kennt ebenfalls Sessions. Für ihn ist es kein Problem sich alle Dateien im temporären Ordner (session_path) anzuschauen. Nunja, kann er sie sehen? Dann kennt er schon mal einen Haufen SessionIds von dir. Wenn er dann auch noch die Datei einsehen kann, oha, evtl. gar schreiben oje oje oje..
Das ist ein Konfigurationsproblem und sollte vom Provider behoben werden.
Also:
Nach der Installation des Patches gibt es keine offensichtliche 1:1 Beziehung zwischen der SID und benennung der Sessiondatei.
Bei einer versehendliche/absichtlichen Sessionübernahme besteht eine große Chance, dass dann die Sessiondaten nicht übernommen werden, weil der Verschlüsselungs Key nicht passt.


PS:
Achja..
Wenn man schon so weit geht, sollte man auch auf SSL bzw. HTTPS setzen.
__________________
Wir werden alle sterben

Geändert von combie (27-04-2008 um 12:53 Uhr)
Mit Zitat antworten