• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Session ID's über die URL weiter geben...

X

xXxPeterPanxXx

Neues Mitglied
Hi und frohe Ostern,

ich möchte noch einen weiteren Thread zu Sessions hinzu fügen. Ich weiß das man im normal Fall die Session ID über ein Cookie speichert und falls Cookies ausgeschaltet sind die ID über die URL weitergibt, doch da habe ich noch ein paar Fragen...

Ist es nicht gefährlich die ID über die URL zu übertragen, immerhin kann man diese manipulieren. Wie kann man sich davor schützen?

Ich möchte nur ungern die ID in allen URLs mit schicken, weil es einen riesen Aufwand bedeutet jeden Link zu ändern, geht es nicht auch anders?


MfG xXxPeterPanxXx
 
Ist es nicht gefährlich die ID über die URL zu übertragen, immerhin kann man diese manipulieren. Wie kann man sich davor schützen?
Zum Vergrößern anklicken....

Die Session-ID im Cookie ist auch manipulierbar. (Wie alles, was clientseitig gespeichert wird.) Die Sicherheit bei Sessions besteht darin, dass die Wahrscheinlichkeit, zufällig eine weitere derzeit vergebene Nummer zu treffen, vernachlässigbar gering ist. Das Problem, das du bei Session-IDs in der URL hast, sind die Leute, die den Link weitergeben oder in Foren posten oder die sich einen Rechner mit Anderen teilen. Zeitnah können so Dritte die komplette URL in ihrem Browser aufrufen und somit Zugriff auf die Session-Daten bzw. das Login erhalten.

Es gibt einige Ansätze, die simpelsten "Angriffe" abzufangen, aber das für alle Umstände sicher umzusetzen, ist wahrscheinlich unmöglich. Was mir spontan einfällt:

- Zu jeder Session-ID serverseitig die User-IP oder den User-Browserstring speichern und bei jedem Refresh abgleichen. Beide Möglichkeiten funktionieren nicht immer.
- Session-ID nach jedem Refresh ändern. Ein Nutzer kann dann weiterhin eingeloggt bleiben, da jeder interne Link auf der Seite die neue Session-ID angehängt bekommt. Der große Nachteil: Neuladen ohne einen Link anzuklicken verliert die Session.
- Auf Sessions ohne Cookies verzichten.

Danach kannst du aber auch im Internet suchen.

Ich möchte nur ungern die ID in allen URLs mit schicken, weil es einen riesen Aufwand bedeutet jeden Link zu ändern, geht es nicht auch anders?
Zum Vergrößern anklicken....

Es gibt in PHP eine Einstellung, die Session-ID automatisch an den Inhalt bestimmter HTML-Attribute anzuhängen.

- PHP: Laufzeit-Konfiguration - Manual
- PHP: Laufzeit-Konfiguration - Manual

Meine Meinung: Wenn du nicht einen absolut überzeugenden Grund hast, Sessions ohne Cookie zuzulassen, nimm davon Abstand.
 
Meine Meinung: Wenn du nicht einen absolut überzeugenden Grund hast, Sessions ohne Cookie zuzulassen, nimm davon Abstand.
Zum Vergrößern anklicken....

Ja. Von den Funktionen, die ein Login erfordern, schon.

Übrigens: Ein Loginsystem tut oftmals nichts Anderes, als Nutzer auszuschließen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben