Link mit SID übergeben -> verschicken ist der Empfänger auch 'eingeloggt'

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Link mit SID übergeben -> verschicken ist der Empfänger auch 'eingeloggt'

    Hallo,

    ich habe mal wider ein Problem (bzw. hab es die ganze Zeit gehabt nur jetzt erst beim testen bemerkt)

    Also, auf meiner Seite muss sich der User einloggen um seine persöhnlichen Daten zu verwalten.
    Wenn er sich eingeloggt hat wird in die Session reingeschrieben das er eingeloggt ist und jede aufgerufene Seite fragt das natürlich ab.
    Eigentlich ja kein Problem, Session ist im Cookie und so soll es ja auch sein!

    Aber, ich dachte mir: jemand kann ja an seinem Browser Cookies deaktiviert haben, der soll aber sich auch einloggen können und wenn er die Seite wechselt soll die SID mitübergeben werden (soll ja nicht von einer Seite zur anderen sich automatisch ausloggen).
    Diese SID sieht man komischerweise aber nicht im Browser (Adressfeld) immer. Wenn ich aber oft genug herum-'linke' kommt sie an einer bestimmten Stelle dann doch in die Adresszeile des Browsers (obwohl ich bei jedem Link die SID übergebe).
    Wenn ich diese Zeile nun herauskopiere und jemandem schicke (z.B. über Messenger) und dieser jemand klickt diesen Link dann an kommt er in den geschützen Bereich des Users der sich eingeloggt hat!!!!

    Das darf so natürlich nicht stehen bleiben!

    Gibts dazu Lösungsansätze ?
    Ich will natürlich das sich alle Anmelden können, egal ob Cookie erlaubt ist oder nicht, will aber das man das nicht an andere Übertragen kann wenn man den Link mit der SID 'rüberschickt'....

  • #2
    generell kannst du das problem nicht lösen, es ist eben so. was meinst du, wieviele sids ich in meinen referern finde ...

    du könntest die session eventuell zusätzlich am ua und anderen user-spezifischen dingen festmachen ...
    Die Zeit hat ihre Kinder längst gefressen

    Kommentar


    • #3
      Egal an was ich es 'festmachen' tu, wenn der User den Link weitergibt, kann (ich hoffe doch nur zu dieser Zeit weil Session ist ja nicht immer gültig) der Empfänger dieses Links eben alles machen und einsehen wie der angemeldete User auch!

      Ausser jeder Browser hat seine eigene Erkennungsmarke( ID) und die wird dann 'festgemacht', das glaub ich aber eher nicht das es das gibt......

      Also bin ich mit diesem Problem nicht alleine sondern das ist eine Tatsache das es nicht anderst geht ? Na dann muss ich mir ja den Kopf nicht weiter damit zerbrechen....

      Danke!

      Kommentar


      • #4
        Zunächst mal ist die Session in der Regel nur eine halbe Stunde nach dem letzten Zugriff gültig. Um das Risiko einer übernommenen Session-ID vollständig auszuschließen, kannst du PHP dazu veranlassen, bei jedem Seitenabruf eine neue SID zu generieren.

        http://de.php.net/manual/de/function...enerate-id.php

        Damit sollte sich dein Problem lösen lassen.

        Gruß Marian
        Online-Kurse die jeder versteht: HTML, PHP, MySQL, Word, Excel
        http://www.lernpilot.de/wbt/

        Kommentar


        • #5
          Original geschrieben von heddesheimer
          Zunächst mal ist die Session in der Regel nur eine halbe Stunde nach dem letzten Zugriff gültig. Um das Risiko einer übernommenen Session-ID vollständig auszuschließen, kannst du PHP dazu veranlassen, bei jedem Seitenabruf eine neue SID zu generieren.
          Die PHP dann auch ggf. an die URL anhängt, per Messanger verschickt werden kann und so trotzdem theoritsch anderen den Zugriff ermöglicht... "der andere" muss ja nur auf den Link klicken, bevor der eigentlich berechtigte drauf klickt


          100% sicher bist du dir nie
          Ich denke, also bin ich. - Einige sind trotzdem...

          Kommentar

          Lädt...
          X