Einzelnen Beitrag anzeigen
  #10 (permalink)  
Alt 21-05-2008, 20:18
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Ich stimme Griecherus zu. Der User gibt sein Passwort nur beim Login ein, später hat man also gar nichts mit dem man das PW in der Session vergleichen könnte. Einzige denkbare Ausnahme ist die Passwort-Ändern-Funktion mit Eingabe des alten Passworts. Da kann der Vergleich aber direkt in der SQL-Query eingebaut werden.
Da stimme ich definitiv auch zu, ich habe mir aber gedacht, das Kropff nicht hierauf abzielt! Solche Daten gehören eh nicht in die Session!

Zitat:
@Kropff: Bei Session Hijacking ist es egal, ob das PW in der Session steht. Ich sehe den Zusammenhang nicht.
Richtig, meist ist der User eh eingeloggt, wenn die Session übernommen wird. Und wenn du den Inhalt der Session nirgendwo ausgibst (Passwörter eh nie im Klartext ausgeben), ist es ziemlich egal, ob das Passwort drin steht oder nicht.
Mit Zitat antworten