Soll ich die PHP SID an url hängen?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
ablaufen
all
anschauen
antwort
benutzer
besuchen
browser
computer
eigentlichen frage
forum
manipulieren
minute
posten
problem
rat
risiko
session
setzen
speichern
url
-
Hallo ich hab grad ein kleines Problem
Und zwar schreibe ich ein Loginsystem mit PHP und MySQL dafür verwende ich auch Sessions. Diese sind ja standartmässig so eingerichtet das die SessionID (SID) in einem cookie gespeichert wird. Das funktioniert auch alles wunderbar, ausser der User erlaubt keine Cookies. Da gibt es ja die Möglichkeit die SID manuell an die url zu hängen, falls aber schon ein cookie gesetzt wurde bleibt diese leer.
Nun habe ich bei mir mal cookies deaktiviert und auf einigen seiten getestet wie andere Webmaster das machen, dabei ist mir aufgefallen das viele die SID nicht an die url hängen und damit ein login ohne cookies gar nicht funktioniert (z.B. auch hier bei Lima-City)
Nun zu meiner eigentlichen Frage soll ich jetzt die SID an die url hängen oder doch lieber nicht (da ja das risiko besteht das die user den link kopieren und samt SID veröffentlichen). Was habt ihr für erfahrungen gemacht und erlaubt ihr cookies?
Ich hoffe ihr versteht mich und bedanke mich schon für eure antworten
Gruss Snoo3 -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Die "Gefahr" besteht bei Cookies auch, da man diese ganz einfach manipulieren kann.
Aber das dürfte kein Problem sein, da Sessions sowieso schnell ablaufen!
Also wäre es vielleicht nicht schlecht, die SID an die URL zu hängen, ist aber eigentlich auch nicht nötig! -
Ich bin mir nicht ganz sicher, ob mein Vorposter das Problem verstanden hat. Wenn man die Sid an die URL anhängt, gibt es das Problem, dass wenn ein Benutzer einfachmal die URL aus seinem Browser kopiert, und dann z.B. in einem Forum veröffentlich, können alle anderen Forenuser die Seite mit seiner Session-ID sehen. Das ist eine Schwerwiegende Sicherheitslücke. Das Problem umgeht man indem man Sids in Cookies speichert, da diese Lokal auf dem Computer gespeichert werden. So und deswegen meine Antwort an den Threadersteller
: Nein, tus nicht. Speicher deine Sids in Cookies und gut ists. Rücksichtnahme auf vielleicht 1% der User rechtfertigt keine Sicherheitslücke.
-
ketchupfleck schrieb:
Ich bin mir nicht ganz sicher, ob mein Vorposter das Problem verstanden hat. Wenn man die Sid an die URL anhängt, gibt es das Problem, dass wenn ein Benutzer einfachmal die URL aus seinem Browser kopiert, und dann z.B. in einem Forum veröffentlich, können alle anderen Forenuser die Seite mit seiner Session-ID sehen. Das ist eine Schwerwiegende Sicherheitslücke. Das Problem umgeht man indem man Sids in Cookies speichert, da diese Lokal auf dem Computer gespeichert werden. So und deswegen meine Antwort an den Threadersteller : Nein, tus nicht. Speicher deine Sids in Cookies und gut ists. Rücksichtnahme auf vielleicht 1% der User rechtfertigt keine Sicherheitslücke.
Ich kann mir aber innerhalb von 5 Minuten den Wert des Session-Cookies anschauen, in ein Forum posten und dann kann ein anderer diesen Cookie bei sich setzen (geht mit einem Firefox-Addon) und dann die Seite besuchen.
Ist zwar etwas komplizierter, aber möglich! -
cookies schrieb:
ketchupfleck schrieb:
Ich bin mir nicht ganz sicher, ob mein Vorposter das Problem verstanden hat. Wenn man die Sid an die URL anhängt, gibt es das Problem, dass wenn ein Benutzer einfachmal die URL aus seinem Browser kopiert, und dann z.B. in einem Forum veröffentlich, können alle anderen Forenuser die Seite mit seiner Session-ID sehen. Das ist eine Schwerwiegende Sicherheitslücke. Das Problem umgeht man indem man Sids in Cookies speichert, da diese Lokal auf dem Computer gespeichert werden. So und deswegen meine Antwort an den Threadersteller : Nein, tus nicht. Speicher deine Sids in Cookies und gut ists. Rücksichtnahme auf vielleicht 1% der User rechtfertigt keine Sicherheitslücke.
Ich kann mir aber innerhalb von 5 Minuten den Wert des Session-Cookies anschauen, in ein Forum posten und dann kann ein anderer diesen Cookie bei sich setzen (geht mit einem Firefox-Addon) und dann die Seite besuchen.
Ist zwar etwas komplizierter, aber möglich!
Ja kann man theoretisch schon, aber das wird niemand machen. Du könntest ja auch all deine passwörter im forum posten. Aber das man versehentlich eine SessionID die in einer url versteckt ist in ein forum postet ist sehr schnell passiert. Deswegen werde ich auch den rat von ketchupfleck berücksichtigen und bedanke mich herzlich für eure hilfe
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
