Thema: Login Frage
Einzelnen Beitrag anzeigen
  #12 (permalink)  
Alt 27-04-2008, 17:01
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Nach der Installation des Patches gibt es keine offensichtliche 1:1 Beziehung zwischen der SID und benennung der Sessiondatei. Bei einer versehendliche/absichtlichen Sessionübernahme besteht eine große Chance, dass dann die Sessiondaten nicht übernommen werden, weil der Verschlüsselungs Key nicht passt.
Das kann ich ja noch verstehen, wobei man da ja eine eigene Prüfung auf einen Key (IP/Browser/etc) machen kann - ist denk ich ähnlich effektiv.
Zitat:
Für ihn ist es kein Problem sich alle Dateien im temporären Ordner (session_path) anzuschauen.
Wer auf seinem Server suhosin installiert hat entweder einen eigenen und damit sicher kein Problem oder ist sich der Gefahr insoweit bewusst, dass er sicherlich den session_path nicht fehlkonfiguriert.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten