WCM Forum - Einzelnen Beitrag anzeigen

käptn · 31.08.2004, 14:44

Das kommt ganz darauf an...

Bei einem Forum ist es sicher nicht so tragisch wie bei einem WebShop oder WebMailer.

Worauf man achten sollte:

Nach dem Login die Session-ID mit session_regenerate_id() neu erzeugen.

Externe Links über ein Redirect-Script laufen lassen, welches die Session-ID "schluckt".

Bleibt immer noch die Möglichkeit, dass der User die URL einfach aus der Adresszeile kopiert.

Wie kann man jetzt sicherstellen, dass die Session dem Benutzer gehört, der sie aufruft?

... gar nicht.

Ein Check des User-Agents ist sogar verlässlicher als die IP...

Soll es wirklich sicher sein, wirst du um SSL nicht herum können.

Ob unser alkalischer Freund die Session-Daten jetzt in der DB speichert oder nicht, ist eher Geschmackssache, da sich dabei höchstens Spionage am Server etwas eindämmen läßt.

~

31.08.2004, 14:44	#6
käptn Inventar Registriert seit: 04.11.2001 Alter: 45 Beiträge: 2.150	Das kommt ganz darauf an... Bei einem Forum ist es sicher nicht so tragisch wie bei einem WebShop oder WebMailer. Worauf man achten sollte: Nach dem Login die Session-ID mit session_regenerate_id() neu erzeugen. Externe Links über ein Redirect-Script laufen lassen, welches die Session-ID "schluckt". Bleibt immer noch die Möglichkeit, dass der User die URL einfach aus der Adresszeile kopiert. Wie kann man jetzt sicherstellen, dass die Session dem Benutzer gehört, der sie aufruft? ... gar nicht. Ein Check des User-Agents ist sogar verlässlicher als die IP... Soll es wirklich sicher sein, wirst du um SSL nicht herum können. Ob unser alkalischer Freund die Session-Daten jetzt in der DB speichert oder nicht, ist eher Geschmackssache, da sich dabei höchstens Spionage am Server etwas eindämmen läßt. ~ ____________________________________ LOL - Mein erstes Post im Programmier Forum MACINTOSH - Most Applications Crash, If Not The Operating System Hangs