Sessions sollen nicht als Cookies gespeichert werden

**Truncate** · 05.03.2006, 02:27

So die Lösung dürfte wohl die sein:

PHP-Code:


ini_set("session.use_cookies","0");

ini_set("url_rewriter.tags","");

Das schreibt man VOR die Sessions-Befehle und fertig. Oder?

**Rolandbar** · 05.03.2006, 08:38

Es soll verhindert werden, dass z.B. ein Member dem
anderen einen Link schickt wie z.B. logout.php und dann
der unbedarfte User draufklickt und auf einmal ausgeloggt ist.

Sprich es soll wenn dann nur mit "seiner" eigenen angehängten
Session-ID gehen.

meines wissens ist das fast unmöglich(lase mich gern beleren).

du könntest aber die ip in die session speichern und bei jedem aufruf prüfen ob es noch die gleiche ist, wenn nicht ---> logout. aber damit sperrst du die AOL user parktisch aus, denn bei denen ändert sie die ip ständig. von daher das mit ip veregessen.

die daten vom browser(broser typ, version, win version) kannst du auch nicht nehmen, denn es gibt viele user die das geiche haben.

auch mit cookies geht es nicht.

PHP-Code:


    ini_set("session.use_cookies","0");

    ini_set("url_rewriter.tags","");

Das schreibt man VOR die Sessions-Befehle und fertig. Oder?

damit verhinderst du nur das die session id an die url gehängt wird. auserdem werden cookies nicht benutzt

mfg roland

**wahsaga** · 05.03.2006, 11:48

Re: Sessions sollen nicht als Cookies gespeichert werden

Original geschrieben von Truncate
Es soll verhindert werden, dass z.B. ein Member dem
anderen einen Link schickt wie z.B. logout.php und dann
der unbedarfte User draufklickt und auf einmal ausgeloggt ist.

Wenn du sonst keine Sorgen hast ...

Dieses "Problem" wäre m.E. absolut zu vernachlässigen.
Relevanter wäre es, wenn man ihn dazu bringen könnte, Daten verändernde Aktionen auszuführen. Aber da bist du mit SID-Übergabe per URL definitiv näher dran, als mit Cookies.

**the_wh0** · 05.03.2006, 15:06

Also so weit ich weiß:
einfach in der config:

PHP-Code:


session.use_trans_sid = 1

wenn nun keine <form> in der page ist wird die sid an die url angehängt ansonsten wird die sid als POST übertragen in einem hidden field.

PHP-Code:


echo "<input type=\"hidden\" name=\"".session_name()."\" value=\"".session_id()."\" />\n";

ich hab das zwar nocht nicht viel getestet aber es schien zu gehen

Nachzulesen: http://at.php.net/manual/en/ref.session.php#59026

**Truncate** · 05.03.2006, 16:13

Nun bei meinen 2 Zeilen bringt doch dann ein Link ohne SID (auf z.B. logout.php) nichts mehr, darum ging es mir ja eigentlich.

Also ich find das schon relevant, stellt euch vor irgendein Trottel
verschickt an alle Mitglieder solche Links und alle loggen sich
unfreiwillig aus oder sonstwas passiert...

**Rolandbar** · 05.03.2006, 17:26

Nun bei meinen 2 Zeilen bringt doch dann ein Link ohne SID (auf z.B. logout.php) nichts mehr, darum ging es mir ja eigentlich.

stimmt da hast du recht.

ich seichere die SID lieber in cookies, denn wenn sich user die links weitergeben und vorher nicht die SID aus dem link genommen haben, sind sie auf einmal bei dem eingelogt, der ihnen den link gegeben hat.

Es soll verhindert werden, dass z.B. ein Member dem
anderen einen Link schickt wie z.B. logout.php und dann
der unbedarfte User draufklickt und auf einmal ausgeloggt ist.

das ist doch nich so schlim, er kann sich ja den neu einlogen.

mfg Roland

**Truncate** · 05.03.2006, 17:34

Naja mit dem ausloggen ist ja noch harmlos, aber sicher nicht schön wenn man AutoLogin hatte und dann auf einmal erstmal wieder sein Passwort suchen/anfordern muss etc. :-)

Gut hab auch wieder auf SID-Cookies umgestellt, muss halt jetzt nur noch "dumme" Links verhindern...

**DoubleJ2k** · 05.03.2006, 18:22

Original geschrieben von Truncate
Naja mit dem ausloggen ist ja noch harmlos, aber sicher nicht schön wenn man AutoLogin hatte und dann auf einmal erstmal wieder sein Passwort suchen/anfordern muss etc. :-)

Viel unschöner ist es doch, wenn ein böser User ein Link in das Forum einfügt und auf ihn klickt gewird oder noch besser, wenn er einfach ein Bild einbindet. Der Browser übermittelt an den fremden Server den Referer und der böse User muss dann nur in die Logfiles schauen und wird so mit einigen Accs Blödsinn machen können...

Natürlich könnte man proxy- oder dereferer-scripts einsetzen, aber das kostet wieder Serverleistung...

Wenn ich was ändern würde, dann dass die sid NUR über cookies übertragen wird. Wenn jemand die logout-Seite aufruft, kannst du ja dort außerdem noch eine Sicherheitsabfrage mit einbauen... "Möchtest du dich wirklich ausloggen?"... das als Formular mit der Methode POST und das "Problem" ist Vergangenheit...

**Truncate** · 05.03.2006, 18:36

Original geschrieben von DoubleJ2k
Wenn ich was ändern würde, dann dass die sid NUR über cookies übertragen wird.

Also ini_set("session.use_cookies","1"); und fertig? Das Anhängen wird ja dann automatisch weggelassen oder?

**wahsaga** · 05.03.2006, 22:08

Original geschrieben von DoubleJ2k
[...] wenn er einfach ein Bild einbindet. Der Browser übermittelt an den fremden Server den Referer und der böse User muss dann nur in die Logfiles schauen

Kann bei trans_sid nicht passieren, da die SID nur an relative Links angehängt wird - und in deren Natur liegt es nun mal, dass sie nur auf die selbe Domain aufgelöst werden.

**Rolandbar** · 06.03.2006, 08:43

Also ini_set("session.use_cookies","1"); und fertig? Das Anhängen wird ja dann automatisch weggelassen oder?

nein, es könnte immer noch nemand der was von php versteht die SID an die url hängen, und php würde sie verwenden.

folgendes müsste gehen:

PHP-Code:


ini_set("session.use_cookies","1"); // cookies benutzen

ini_set("session.use_only_cookies","1"); // nur cookies erlauben, sid inr url wird nicht beachtet

ini_set("session.use_trans_sid","0"); // sichergehen das sid nicht automatisch angehängt wird

Sessions sollen nicht als Cookies gespeichert werden