login skript sicherheitslücke?

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    login skript sicherheitslücke?

    guten morgen, ....

    bin wahrscheinlich nicht der erste der fragt aber ich hab ebenfalls mit die idee des login scripts von mr.happy geborgt und für meine zwecke umgeschrieben. was ist nun aber wenn der user, ohne ordentlichen logout, die seite verlässt -> ohne das fenster zu schliessen? logischerweise bleibt er in der db noch eingelogt -> kann man diese sicherheitslücke nicht irgendwie schliessen?
    ich dachte auch an folgendens:
    wenn die session id in der url weitergegeben wird müßte es ja eigentlich klappen. ich könnte so z.b. auch abfragen ob in der session eine bestimmte variable gesetzt ist und wenn nicht ebenfalls mit location header and die login seite verweisen. mein problem ist bei mir will die session id nicht in der url auftauchen irgendwo in der php.ini muß da wohl noch was zu ändern sein.

    hatt jemand eine antwort

    danke

    fra7l7
    Stichworte: -
  • #2
    wenn der user z.b. 10 min nichts macht, wird er automatisch inaktiv geschaltet.

    zum anderen ist es der user selber schuld, wenn er sich z.b. in i-net-cafe nicht ausloggt und der rechner von anderen personen genutzt wird. das ist leichtsinn und kann nicht wegprogrammiert werden.
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar

    • #3
      danke hab ich mir schon gedacht
      d.h eine session bleibt auch dann noch aktiv und stirbt erst nach den ini einstellungen. D.h. selbst wenn die session in der url nicht mehr benützt würde, würde sie denoch weiterleben.... hmm ... soso dann hab ich wohl falsch gedacht;(

      aber danke

      Kommentar

      • #4
        jo. die php.session bleibt natürlich aktiv. aber das script von happy hat eine max-idle-time. (oder wie er das jetzt genannt hat)

        zumindest muss sich ein user nach dieser zeit im 'nichtstun' auch im gleichen wieder neu anmelden. das script erkennt ihn also nicht mehr als gültig eingeloggten user an.
        INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


        Kommentar

        • #5
          logout, abernicht wirklich

          hallo zusammen,

          ich finde das skript auch sehr schön, lob ersteinmal.

          funktioniert alles wie beschrieben. beim einloggen wird in der db eine sessionid eingetragen, beim ausloggen wieder auf null gesetzt. wenn ich nun aber im browser nach der ausloggen seite auf zurück gehe. egal ob 1x 2x oder ´so, zeigt er mir an, das die aktuelle seite nicht mehr gültig ist. ich drücke f5 und bin (wieder?) im gesichterten bereich. nun steht in der db auch wieder die session id.

          gibt es nicht eine möglichkeit das zu umgehen oder muß ich immer das ganze fenster zumachen?

          Daniel
          http://www.nanc-angel.de

          Kommentar

          • #6
            das mit dem f5 muss an deiner seite liegen. ich tippe mal auf frames.
            INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


            Kommentar

            • #7
              Re: login skript sicherheitslücke?

              Original geschrieben von frank7l7
              was ist nun aber wenn der user, ohne ordentlichen logout, die seite verlässt -> ohne das fenster zu schliessen?
              was aber, wenn der chef der bankfiliale nach tagesende den tresor nicht zumacht, und die tür nicht abschliesst - ist das nicht eine riesen sicherheitslücke ...?
              I don't believe in rebirth. Actually, I never did in my whole lives.

              Kommentar

              • #8
                @abraxax

                keine frames, er fragt dann nur ob er die daten nochmal senden soll, wenn ich auf ok drücke, bin ich wieder drin.
                http://www.nanc-angel.de

                Kommentar

                • #9
                  lol. kann es sein, dass dein logout nur ein history(-1) ist?

                  ich weiss ja nicht, was du gemacht hast, aber irgendwas ist da 100%ig falsch.
                  INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                  Kommentar

                  Vorherige template Weiter
                  Lädt...
                  X