Moderator
Tweet
Ist das Verzeichnis sessions ein NFS-Link? Wie sonst kann Domain2 auf die Session-Daten zugreifen, die von Domain1 abgelegt wurden?
-
-
Ja, der Token ist das was übergeben wird. Und über den Token wird die SessID in der Datenbank ausgelesen.
Die Domains sind alle einem Account zugeordnet. Entsprechend haben sie alle vollen Zugriff auf das Web-Dateiverzeichnis.Kommentar
-
Welchen Grund gibts dann auf eine eigene Session Verwaltung zu setzen?Die Domains sind alle einem Account zugeordnet. Entsprechend haben sie alle vollen Zugriff auf das Web-Dateiverzeichnis.Kommentar
-
Wenn du mir verrätst wie ich für mehrere Domains die auf eine IP / ein Verzeichnis auf dem Server zeigen die selbe Session verwenden kann wäre das ganz wunderbar und würde mir viele viele Probleme lösen. Ich habe leider diesbezüglich aber nichts gefunden was das ganze möglich macht.
Und so oder so bleibt doch das Problem, dass ein Cookie (den die Session setzt) nur für eine Domain registriert werden kann.
Wenn es dafür eine simple Lösung gibt ... sehr gerne.
Kommentar
-
Na wenn du statt deines Token gleich die Session-ID übergibst, dann hast du das vermeintliche Problem doch schon gelöst ...
(Gut, die Frage nach der Sicherheit bliebe da noch. Aber diesbezüglich sehe ich erst mal nicht, was an deinem Token sicherer sein sollte, als an direkter Übergabe der SID.)I don't believe in rebirth. Actually, I never did in my whole lives.Kommentar
-
-
Übergebe ich gleich die Session ist die Übernahme dieser wesentlich vereinfacht. Denn der Token ist nur wenige Sekunden gültig und wird zudem per "Fingerprint" geprüft. Heißt Session-Diebstahl wird doch deutlich erschwert.
@combie: Meinst du mit der Doku das Manual?
PHP: session_id - Manual
Und falls ja - meinst du diese Passage?
Ich habe anfangs mit der Session herumgespielt und versucht eine bestehende Session auf eine andere Domain zu kopieren. Egal was ich allerdings versucht habe - ich hatte keinen Erfolg... :-/get or set the session id for the current sessionKommentar
-
Ja, genau!
Diese Passage und die anderen allerdings auch.
Ist bei dir Suhosin installiert??Kommentar
-
Wie gesagt - die Versuche mit der original Session haben leider keinen Erfolg gebracht.
Suhosin ist sowohl lokal als auch aufm Server nicht installiert.Kommentar
-
Tja, dazu kann ich dann auch nichts sagen, denn ich kenne deine Versuche nicht.Wie gesagt - die Versuche mit der original Session haben leider keinen Erfolg gebracht.Kommentar
-
Na das kannst du doch aber auch gleich in die Session mit reinschreiben - einen Timestamp und den Fingerabdruck, und wenn ersterer bei Wiederaufnahme der Session zu lange her ist oder zweiterer nicht mehr passt, dann halt die('und tschüss');Zitat von waldgeist Beitrag anzeigenI don't believe in rebirth. Actually, I never did in my whole lives.Kommentar
Kommentar