Session IDs werden übernommen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Session IDs werden übernommen

    Hi,

    hab ein Forum das über Sessions die über die URL übergeben werden läuft.

    Wenn jetzt in diesem Forum jemand eine URL von meiner Seite postet mit seiner Session ID und ich klicke dann da drauf, übernehm ich automatisch seine Session.

    Wie ist so was möglich?
    Was kann man dagegen tun?

    -------------------------
    Hat sich erledigt. Bitte Thread löschen.
    -------------------------

    Grüsse,
    Sebastian
    Zuletzt geändert von Sebastian W; 03.04.2003, 11:53.
    Grüsse,
    Sebastian


    Profil Flex Freelancer
    Twitter twitter.com/flashhilfe
    Web Flash und Flex Community

  • #2
    du rufst den link mit seiner session-id auf, also hast du auch seine session; ganz logisch oder?

    was du dagegen tun kannst?
    evtl. noch mit ip prüfen, oder dafür sorgen, dass die session-id nicht angezeigt wird (hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich)
    Ich denke, also bin ich. - Einige sind trotzdem...

    Kommentar


    • #3
      Danke. Hat sich bereits erledigt. Die Session läuft jetzt wieder über Cookies.

      Mit dem IP speichern hats keinen Sinn... denk mal an Proxy-Server oder Firmennetzwerke die über eine IP ins Internet gehen.

      >> hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich
      Läuft auch über Cookies.

      Trotzdem danke für Deine Antwort.
      Grüsse,
      Sebastian


      Profil Flex Freelancer
      Twitter twitter.com/flashhilfe
      Web Flash und Flex Community

      Kommentar


      • #4
        Original geschrieben von Sebastian W
        >> hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich
        Läuft auch über Cookies.
        Stimmt nicht ganz.
        Erlaubst du Cookies, dann ja.
        Verbietest du Cookies wird über normale Session gearbeitet.
        *winks*
        Gilbert
        ------------------------------------------------
        Hilfe für eine Vielzahl von Problemen!!!
        http://www.1st-rootserver.de/

        Kommentar


        • #5
          >> Verbietest du Cookies wird über normale Session gearbeitet.
          Aber taucht da nicht auch das gleiche Problem auf? - also wenn jemand nen Beitrag mit der Session ID hier im Forum postet und jemand klickt dort sofort drauf - derjenige muß natürlich dann auch Cookies deaktiviert haben
          Grüsse,
          Sebastian


          Profil Flex Freelancer
          Twitter twitter.com/flashhilfe
          Web Flash und Flex Community

          Kommentar


          • #6
            Das kann ich dir nicht genau sagen, wie das hier läuft.
            Aber was ich weiß, ist das hier in der Session[''] nicht nur de ID sonder auch noch andere Sachen gespeichert werden. Sollte eine Abgelaufene Session aufgerufen werden, die nicht zu den Daten in der DB passen, wird eine Neue vergeben.


            ..... forumdisplay.php?s=&forumid=3

            Das s= ist hier die Session-Var des Forums.
            *winks*
            Gilbert
            ------------------------------------------------
            Hilfe für eine Vielzahl von Problemen!!!
            http://www.1st-rootserver.de/

            Kommentar


            • #7
              Hmm ok. Dann werden die sicherlich das Betriebsystem, Browser und die IP speichern. Dann ist es schon recht unwahrscheinlich das jemand genau das selbe hat.

              Aber schade, ich dachte die Session macht das automatisch so. Das die sich nur an der ID fest klammert...
              Grüsse,
              Sebastian


              Profil Flex Freelancer
              Twitter twitter.com/flashhilfe
              Web Flash und Flex Community

              Kommentar


              • #8
                Original geschrieben von Sebastian W
                Dann werden die sicherlich das Betriebsystem, Browser und die IP speichern. Dann ist es schon recht unwahrscheinlich das jemand genau das selbe hat.
                das widerspricht ja deiner eigenen aussage von oben mit den firmennetzwerken.

                gerade bei firmennetzwerken ist die wahrscheinlichkeit sehr hoch, das OS, browser und IP übereinstimmen.
                I don't believe in rebirth. Actually, I never did in my whole lives.

                Kommentar


                • #9
                  Nö eigentlich nicht:
                  >> Dann ist es schon recht unwahrscheinlich das jemand genau das selbe hat. <<

                  Abgesehen davon, ich bin hier auch in einer Firma. Auf uns trifft das z.B. auch nicht zu.
                  Grüsse,
                  Sebastian


                  Profil Flex Freelancer
                  Twitter twitter.com/flashhilfe
                  Web Flash und Flex Community

                  Kommentar


                  • #10
                    Das ist eigentlich sehr wahrscheinlich das die dann die gleichen Daten haben...
                    Bei uns hier im Firmennetz ist es nämlich so...
                    mfg
                    Günni


                    Praxis: Jeder kann´s, aber keiner weiß wie´s geht...
                    Theorie: Jeder weiß wie´s geht, aber keiner kann´s ...
                    Microsoft vereint Praxis und Theorie: Nix geht und keiner weiß warum
                    City-Tiger - Online durch die Straßen tigern...

                    Kommentar


                    • #11
                      Jau Leute. Aber ich versteh gar nicht warum ihr Euch jetzt darauf fest beist!? Ich will das doch genau aus diesem Grund über Session-Cookies machen. Ich verfechte doch gar keine andere Meinung. Oder was wollt ihr jetzt für eine Antwort von mir herauskitzeln?

                      Mein Aussage war doch die:
                      ---------------
                      Mit dem IP speichern hats keinen Sinn... denk mal an Proxy-Server oder Firmennetzwerke die über eine IP ins Internet gehen.
                      ---------------

                      Auf Reaktion von mrhappiness:
                      ---------------
                      evtl. noch mit ip prüfen, oder dafür sorgen, dass die session-id nicht angezeigt wird (hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich)
                      ---------------

                      Und das mit Session + Browser, Betriebsystem und IP check ist ja wohl eindeutig besser als nur Session. Mehr hab ich doch gar nicht gesagt!!
                      Grüsse,
                      Sebastian


                      Profil Flex Freelancer
                      Twitter twitter.com/flashhilfe
                      Web Flash und Flex Community

                      Kommentar


                      • #12
                        Nee nee...

                        Also Betriebssystem, etc zu speichern ist schwachsinn! Firmen wie die Banken und Versicherungen, usw. Aber auch kleine wie pro in web haben seeeehr ähnlich installationen! Und das trifft wirklich auf die MEHRHEIT zu!

                        Scheint, du hast es noch nicht ganz verstanden.

                        als erstes wird versucht die session in nem cookie zu sichern, id Fall wird keine id in der url übergeben. ansonsten muss halt sid=dsafdsaf angegeben werden. aber das geht alles automatisch.

                        wies in professionellen Foren gemacht wird?

                        einfach die betreffende Stelle aus dem Link löschen. Das ist ja nicht schwer. Wenn nicht sogar einfacher, als deine ganzen anderen Überlegungen (und ich meine nur die Überlegungen )
                        Zuletzt geändert von TobiaZ; 03.04.2003, 15:41.

                        Kommentar


                        • #13
                          >> Scheint, du hast es noch nicht ganz verstanden.
                          Doch. Wenn Cookies erlaubt, Session über Cookies. Wenn nicht, Session über URL.
                          Wotan schrieb:
                          ------------------
                          Das kann ich dir nicht genau sagen, wie das hier läuft.
                          Aber was ich weiß, ist das hier in der Session[''] nicht nur de ID sonder auch noch andere Sachen gespeichert werden. Sollte eine Abgelaufene Session aufgerufen werden, die nicht zu den Daten in der DB passen, wird eine Neue vergeben.
                          -------------------
                          Durch "andere Sachen" kam meine Theorie mit dem Browser, IP etc auf. Aber ja ich weis.... bei vielen Firmen ist das gleich. Aber eben nicht bei allen, deswegen ist es besser das mit den Erweiterten Informationen zu speichern als ohne... oder!?

                          Nur was ihr anscheinend noch nicht bemerkt habt, ist eine einfache Lösung des Problems. Der User bekommt für das posten eine Session ID und fürs durchsurfen eine andere. So kann nichts durcheinander kommen. So bald jemand auf Beitrag schreiben geht, wird die alte Session gelöscht und ne neue angelegt. Nach dem Senden des Beitrags passiert dann wieder das gleiche.


                          ---------------
                          Hehe und jetzt kommt der Hammer. Benutzt mal NS 7.0 (nicht IE. Der stellt die Session-Cookies nicht ab) deakviert die Cookies und versucht dann mal hier auf den Thread zu antworten
                          ---------------
                          Grüsse,
                          Sebastian


                          Profil Flex Freelancer
                          Twitter twitter.com/flashhilfe
                          Web Flash und Flex Community

                          Kommentar


                          • #14
                            Beitrag mit NS7

                            Das hier ist ein Beitrag mir NS7. Und nun?
                            *winks*
                            Gilbert
                            ------------------------------------------------
                            Hilfe für eine Vielzahl von Problemen!!!
                            http://www.1st-rootserver.de/

                            Kommentar


                            • #15
                              Erstaunlich. Bei mir gehts nicht.... ich geh ins Forum ohne mich anzumelden. Geh in diesen Thread, klicke auf Antworten. Dann muß ich meinen Benutzernamen, Passwort angeben, dort log ich mich erfolgreich ein, das Formular für die Eingabe der Nachricht kommt. Ich tipp meine Nachricht ein, klick auf senden und dann kommt wieder die Meldung ich wär noch nicht eingeloggt.

                              Habs drei mal versucht.... komisch das es bei Dir geht.

                              Mozilla/5.0 (Windows; U; Windows NT 5.0; de-DE; rv:1.0.1) Gecko/20020823 Netscape/7.0
                              Grüsse,
                              Sebastian


                              Profil Flex Freelancer
                              Twitter twitter.com/flashhilfe
                              Web Flash und Flex Community

                              Kommentar

                              Lädt...
                              X