php-resource




Archiv verlassen und diese Seite im Standarddesign anzeigen :
Session IDs werden übernommen


 
Sebastian W
03-04-2003, 11:02 
 
Hi,

hab ein Forum das über Sessions die über die URL übergeben werden läuft.

Wenn jetzt in diesem Forum jemand eine URL von meiner Seite postet mit seiner Session ID und ich klicke dann da drauf, übernehm ich automatisch seine Session.

Wie ist so was möglich?
Was kann man dagegen tun?

-------------------------
Hat sich erledigt. Bitte Thread löschen.
-------------------------

Grüsse,
Sebastian

 
mrhappiness
03-04-2003, 11:04 
 
du rufst den link mit seiner session-id auf, also hast du auch seine session; ganz logisch oder?

was du dagegen tun kannst?
evtl. noch mit ip prüfen, oder dafür sorgen, dass die session-id nicht angezeigt wird (hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich)

 
Sebastian W
03-04-2003, 11:55 
 
Danke. Hat sich bereits erledigt. Die Session läuft jetzt wieder über Cookies.

Mit dem IP speichern hats keinen Sinn... denk mal an Proxy-Server oder Firmennetzwerke die über eine IP ins Internet gehen.

>> hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich
Läuft auch über Cookies.

Trotzdem danke für Deine Antwort.

 
Wotan
03-04-2003, 12:24 
 
Original geschrieben von Sebastian W
>> hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich
Läuft auch über Cookies.

Stimmt nicht ganz.
Erlaubst du Cookies, dann ja.
Verbietest du Cookies wird über normale Session gearbeitet.

 
Sebastian W
03-04-2003, 12:28 
 
>> Verbietest du Cookies wird über normale Session gearbeitet.
Aber taucht da nicht auch das gleiche Problem auf? - also wenn jemand nen Beitrag mit der Session ID hier im Forum postet und jemand klickt dort sofort drauf - derjenige muß natürlich dann auch Cookies deaktiviert haben

 
Wotan
03-04-2003, 12:33 
 
Das kann ich dir nicht genau sagen, wie das hier läuft.
Aber was ich weiß, ist das hier in der Session[''] nicht nur de ID sonder auch noch andere Sachen gespeichert werden. Sollte eine Abgelaufene Session aufgerufen werden, die nicht zu den Daten in der DB passen, wird eine Neue vergeben.


..... forumdisplay.php?s=&forumid=3

Das s= ist hier die Session-Var des Forums.

 
Sebastian W
03-04-2003, 12:41 
 
Hmm ok. Dann werden die sicherlich das Betriebsystem, Browser und die IP speichern. Dann ist es schon recht unwahrscheinlich das jemand genau das selbe hat.

Aber schade, ich dachte die Session macht das automatisch so. Das die sich nur an der ID fest klammert...

 
wahsaga
03-04-2003, 13:17 
 
Original geschrieben von Sebastian W
Dann werden die sicherlich das Betriebsystem, Browser und die IP speichern. Dann ist es schon recht unwahrscheinlich das jemand genau das selbe hat.
das widerspricht ja deiner eigenen aussage von oben mit den firmennetzwerken.

gerade bei firmennetzwerken ist die wahrscheinlichkeit sehr hoch, das OS, browser und IP übereinstimmen.

 
Sebastian W
03-04-2003, 13:45 
 
Nö eigentlich nicht:
>> Dann ist es schon recht unwahrscheinlich das jemand genau das selbe hat. <<

Abgesehen davon, ich bin hier auch in einer Firma. Auf uns trifft das z.B. auch nicht zu.

 
Günni
03-04-2003, 13:48 
 
Das ist eigentlich sehr wahrscheinlich das die dann die gleichen Daten haben...
Bei uns hier im Firmennetz ist es nämlich so...

 
Sebastian W
03-04-2003, 13:55 
 
Jau Leute. Aber ich versteh gar nicht warum ihr Euch jetzt darauf fest beist!? Ich will das doch genau aus diesem Grund über Session-Cookies machen. Ich verfechte doch gar keine andere Meinung. Oder was wollt ihr jetzt für eine Antwort von mir herauskitzeln?

Mein Aussage war doch die:
---------------
Mit dem IP speichern hats keinen Sinn... denk mal an Proxy-Server oder Firmennetzwerke die über eine IP ins Internet gehen.
---------------

Auf Reaktion von mrhappiness:
---------------
evtl. noch mit ip prüfen, oder dafür sorgen, dass die session-id nicht angezeigt wird (hier im forum seh ich meine session-id zum bispiel nich im link und du deine auch nich)
---------------

Und das mit Session + Browser, Betriebsystem und IP check ist ja wohl eindeutig besser als nur Session. Mehr hab ich doch gar nicht gesagt!!

 
TobiaZ
03-04-2003, 15:37 
 
Nee nee... :D

Also Betriebssystem, etc zu speichern ist schwachsinn! Firmen wie die Banken und Versicherungen, usw. Aber auch kleine wie pro in web haben seeeehr ähnlich installationen! Und das trifft wirklich auf die MEHRHEIT zu!

Scheint, du hast es noch nicht ganz verstanden.

als erstes wird versucht die session in nem cookie zu sichern, id Fall wird keine id in der url übergeben. ansonsten muss halt sid=dsafdsaf angegeben werden. aber das geht alles automatisch.

wies in professionellen Foren gemacht wird?

einfach die betreffende Stelle aus dem Link löschen. Das ist ja nicht schwer. Wenn nicht sogar einfacher, als deine ganzen anderen Überlegungen (und ich meine nur die Überlegungen :D)

 
Sebastian W
03-04-2003, 16:08 
 
>> Scheint, du hast es noch nicht ganz verstanden.
Doch. Wenn Cookies erlaubt, Session über Cookies. Wenn nicht, Session über URL.
Wotan schrieb:
------------------
Das kann ich dir nicht genau sagen, wie das hier läuft.
Aber was ich weiß, ist das hier in der Session[''] nicht nur de ID sonder auch noch andere Sachen gespeichert werden. Sollte eine Abgelaufene Session aufgerufen werden, die nicht zu den Daten in der DB passen, wird eine Neue vergeben.
-------------------
Durch "andere Sachen" kam meine Theorie mit dem Browser, IP etc auf. ;) Aber ja ich weis.... bei vielen Firmen ist das gleich. Aber eben nicht bei allen, deswegen ist es besser das mit den Erweiterten Informationen zu speichern als ohne... oder!? ;)

Nur was ihr anscheinend noch nicht bemerkt habt, ist eine einfache Lösung des Problems. Der User bekommt für das posten eine Session ID und fürs durchsurfen eine andere. So kann nichts durcheinander kommen. So bald jemand auf Beitrag schreiben geht, wird die alte Session gelöscht und ne neue angelegt. Nach dem Senden des Beitrags passiert dann wieder das gleiche.


---------------
Hehe und jetzt kommt der Hammer. Benutzt mal NS 7.0 (nicht IE. Der stellt die Session-Cookies nicht ab) deakviert die Cookies und versucht dann mal hier auf den Thread zu antworten ;)
---------------

 
Wotan
03-04-2003, 16:14 
 
Das hier ist ein Beitrag mir NS7. Und nun?

 
Sebastian W
03-04-2003, 16:17 
 
Erstaunlich. Bei mir gehts nicht.... ich geh ins Forum ohne mich anzumelden. Geh in diesen Thread, klicke auf Antworten. Dann muß ich meinen Benutzernamen, Passwort angeben, dort log ich mich erfolgreich ein, das Formular für die Eingabe der Nachricht kommt. Ich tipp meine Nachricht ein, klick auf senden und dann kommt wieder die Meldung ich wär noch nicht eingeloggt.

Habs drei mal versucht.... komisch das es bei Dir geht.

Mozilla/5.0 (Windows; U; Windows NT 5.0; de-DE; rv:1.0.1) Gecko/20020823 Netscape/7.0

 
Wotan
03-04-2003, 16:18 
 
Das mit dem NS7 werde ich gleich mal Berni melden.
Stimmt es geht nicht mit ausgeschalteten Cookies mit NS7 im Forum zu antworten. Da will er immer wieder auf den Login zurück.

 
Sebastian W
03-04-2003, 16:31 
 
Tja, nicht leicht mit dieser Session-URL.... dann doch lieber über Session-Cookies ;)
Die funktionieren übrigens beim IE auch wenn man sie deaktiviert hat. Nur die Mozillas machen es "richtig" und sperren auch sie.


Alle Zeitangaben in WEZ +2. Es ist jetzt 20:25 Uhr.