wie verarbeitet man sessions am beste

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • wie verarbeitet man sessions am beste

    hallo ihr

    ich hab ein loginscript und da bekommt man ja sessions
    meine frage: wie verarbeitet man sessions am beste??

    man kann ja das passwort per URL übergeben
    oder
    mit cookies speichern

    welche methode ist besser oder gibts noch ne andere
    ich schätze mal URL ist besser, weil manche cookies deactiviert haben oder??

    danke
    Wat für'n Scheiß war dat über meine Mucke? Hast'n Problem? ALTA! Schon mal ne 5000-Watt-BASS-Machine gehört? Geht voll ab, Alta!

    Wacken?! Ist schon vorbei du Spasti!

  • #2
    beide sind schlecht! das PW übergibt man nur ein Mal beim anmelden und zwar per POST, für alle weitere Identifikation ist die SessionID zuständig.

    Kommentar


    • #3
      aber wenn ich die session id per URL übergebe kann man sie ja umändern z.b so dass mann ein formular, dass die sessionid in einem "hidden button" $_GETet , dass wäre dann die ID von einem ganz anderen user.
      Wat für'n Scheiß war dat über meine Mucke? Hast'n Problem? ALTA! Schon mal ne 5000-Watt-BASS-Machine gehört? Geht voll ab, Alta!

      Wacken?! Ist schon vorbei du Spasti!

      Kommentar


      • #4
        Session-Klau kannst du aber verhindern.
        Einfach die IP des Users beim Erzeugen der Session in der Session speichern.
        Selbst wenn der User dann die ID einer aktiven Session errät (was wie ein 6er im Lotto wäre), stimmt seine IP garantiert nicht mit der überein, die in der erratenen Session steht.

        Sei dir aber bewußt, dass AOL-User ihre IP dauernd wechseln, d.h. sie fliegen bei dir ständig raus. Deswegen verzichtet man i.A. auf den IP-Check und verläßt sich darauf, daß Anzahl_möglicher_SIDs >>>> Anzahl_aktiver_SIDs und dadurch das Erraten einer gültigen Session nahezu unmöglich ist.

        Also lass den User doch ändern wie er will, er wird kein Glück haben.

        Kommentar


        • #5
          ja, man kann sie in dem Fall ändern.
          nein, wenn das möglich wäre, dann bist du schuld daran. Denn wenn du nur die SessionID prüfst, dann kann sowas passieren.

          Tipp: man kann zu der Session auch diversen Sachen in Session-Variablen ablegen und bei Bedarf prüfen
          Zuletzt geändert von asp2php; 08.07.2005, 14:38.

          Kommentar


          • #6
            Original geschrieben von onemorenerd
            Sei dir aber bewußt, dass AOL-User ihre IP dauernd wechseln, d.h. sie fliegen bei dir ständig raus.
            Soweit ich es beobachten konnte ändert sich aber immer nur die letzte Stelle einer AOL-IP und die auch soweit ich es sehen konnte nur um den Wert 1, oder hat da jemand andere Erfahrungen gemacht?

            Somit könnte man zumindest immerhin die ersten 3 Stellen der IP prüfen und wer's noch weiter ausreizen möchte, der prüft auch die letzte Stelle noch mit einer Toleranz von meinetwegen +/- 3. Dann wird's schon immer unwahrscheinlicher dass eine Session geklaut werden kann, auch wenn man die SID ersnifft hat.

            User hinter dem gleichen Proxy können sich aber trotzdem noch die Sessions gegenseitig klauen.
            Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
            Schön - etwas Geschichte kann ja nicht schaden.
            Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

            Kommentar


            • #7
              Der IP-Ansatz ist und bleibt aber Flickschusterei. Selbst wenn AOL plötzlich statische IPs verschenkt.

              Ich hätte es vielleicht auch besser so allgemein ausdrücken sollen wie asp2php, sorry.

              Also wem die Wahrscheinlichkeit, eine gültige Session-ID zu erraten, zu hoch erscheint - sprich wenn die Daten so sensibel sind wie die des CIA - dann erzeuge man die SIDs selbst. Länger, kryptischer, was auch immer. Das Plus an Sicherheit ist marginal und den Aufwand nicht wert, aber wer's braucht um ruhig schlafen zu können ...

              Kommentar


              • #8
                Kannst ja mal versuchen, auf irgendeiner Seite eine Session von einem anderen User zu erraten:
                Selbst wenn gerade 10 Millionen User aktiv sind,
                es gibt 16^32 SIDs, deine Chance ist also etwa 2,9*10^-32.

                Mit 0.000000000000000000000000000000029%-iger Wahrscheinlichkeit wirst du es schaffen.
                (6er im Lotto übrigens 0,000007%. Schon mal gewonnen?)
                Die wahrscheinlichkeit das jemand eine session klaut ist so gering das es sich nicht loht irgendwelche überprüfungen einzubauen - einfach nuir session_start() - fertig
                Die Regeln | rtfm | register_globals | strings | SQL-Injections | [COLOR=silver][[/COLOR][COLOR=royalblue]–[/COLOR][COLOR=silver]][/COLOR]

                Kommentar


                • #9
                  also soll icgh dann die sessionid per URL übergeben, anstatt es per cookies zu speichernoder???
                  Wat für'n Scheiß war dat über meine Mucke? Hast'n Problem? ALTA! Schon mal ne 5000-Watt-BASS-Machine gehört? Geht voll ab, Alta!

                  Wacken?! Ist schon vorbei du Spasti!

                  Kommentar


                  • #10
                    Wie du sie übergibst hat wenig bis gar nichts mit Sessionklau zu tun.
                    Du solltest http://www.php.net/manual/de/ref.ses...sion.idpassing lesen.

                    Kommentar

                    Lädt...
                    X