Wie du sie übergibst hat wenig bis gar nichts mit Sessionklau zu tun.
Du solltest http://www.php.net/manual/de/ref.ses...sion.idpassing lesen.
wie verarbeitet man sessions am beste
Einklappen
X
-
also soll icgh dann die sessionid per URL übergeben, anstatt es per cookies zu speichernoder???
Einen Kommentar schreiben:
-
Kannst ja mal versuchen, auf irgendeiner Seite eine Session von einem anderen User zu erraten:
Selbst wenn gerade 10 Millionen User aktiv sind,
es gibt 16^32 SIDs, deine Chance ist also etwa 2,9*10^-32.
Mit 0.000000000000000000000000000000029%-iger Wahrscheinlichkeit wirst du es schaffen.
(6er im Lotto übrigens 0,000007%. Schon mal gewonnen?)
Einen Kommentar schreiben:
-
Der IP-Ansatz ist und bleibt aber Flickschusterei. Selbst wenn AOL plötzlich statische IPs verschenkt.
Ich hätte es vielleicht auch besser so allgemein ausdrücken sollen wie asp2php, sorry.
Also wem die Wahrscheinlichkeit, eine gültige Session-ID zu erraten, zu hoch erscheint - sprich wenn die Daten so sensibel sind wie die des CIA - dann erzeuge man die SIDs selbst. Länger, kryptischer, was auch immer. Das Plus an Sicherheit ist marginal und den Aufwand nicht wert, aber wer's braucht um ruhig schlafen zu können ...
Einen Kommentar schreiben:
-
Original geschrieben von onemorenerd
Sei dir aber bewußt, dass AOL-User ihre IP dauernd wechseln, d.h. sie fliegen bei dir ständig raus.
Somit könnte man zumindest immerhin die ersten 3 Stellen der IP prüfen und wer's noch weiter ausreizen möchte, der prüft auch die letzte Stelle noch mit einer Toleranz von meinetwegen +/- 3. Dann wird's schon immer unwahrscheinlicher dass eine Session geklaut werden kann, auch wenn man die SID ersnifft hat.
User hinter dem gleichen Proxy können sich aber trotzdem noch die Sessions gegenseitig klauen.
Einen Kommentar schreiben:
-
ja, man kann sie in dem Fall ändern.
nein, wenn das möglich wäre, dann bist du schuld daran. Denn wenn du nur die SessionID prüfst, dann kann sowas passieren.
Tipp: man kann zu der Session auch diversen Sachen in Session-Variablen ablegen und bei Bedarf prüfenZuletzt geändert von asp2php; 08.07.2005, 14:38.
Einen Kommentar schreiben:
-
Session-Klau kannst du aber verhindern.
Einfach die IP des Users beim Erzeugen der Session in der Session speichern.
Selbst wenn der User dann die ID einer aktiven Session errät (was wie ein 6er im Lotto wäre), stimmt seine IP garantiert nicht mit der überein, die in der erratenen Session steht.
Sei dir aber bewußt, dass AOL-User ihre IP dauernd wechseln, d.h. sie fliegen bei dir ständig raus. Deswegen verzichtet man i.A. auf den IP-Check und verläßt sich darauf, daß Anzahl_möglicher_SIDs >>>> Anzahl_aktiver_SIDs und dadurch das Erraten einer gültigen Session nahezu unmöglich ist.
Also lass den User doch ändern wie er will, er wird kein Glück haben.
Einen Kommentar schreiben:
-
aber wenn ich die session id per URL übergebe kann man sie ja umändern z.b so dass mann ein formular, dass die sessionid in einem "hidden button" $_GETet , dass wäre dann die ID von einem ganz anderen user.
Einen Kommentar schreiben:
-
beide sind schlecht! das PW übergibt man nur ein Mal beim anmelden und zwar per POST, für alle weitere Identifikation ist die SessionID zuständig.
Einen Kommentar schreiben:
-
wie verarbeitet man sessions am beste
hallo ihr
ich hab ein loginscript und da bekommt man ja sessions
meine frage: wie verarbeitet man sessions am beste??
man kann ja das passwort per URL übergeben
oder
mit cookies speichern
welche methode ist besser oder gibts noch ne andere
ich schätze mal URL ist besser, weil manche cookies deactiviert haben oder??
dankeStichworte: -
Einen Kommentar schreiben: