PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : wie nekomme ich meine session möglichst sicher?


DragonofSilence
23.01.2006, 15:15:21
hallo.
ich will gerade ne website basteln und hab vor nun endlich mal mit sessions zuarbeiten.. nun ist aber die frage wie man das am besten macht.. und vorallem am sichersten. Ich hab mir erstmal alle möglichen Seiten.. sprich Self PHP und irgendwelche Tutorials und das Manual durchgelesen..
die einzigen hinweise auf sicherheit die ich finden bzw mir denken konnte waren.
1. keine sessionsids im seitenquelltext.. also in dieser html ausgabe die jeder browser da macht..
2. keine ids im link.. weil die kopiert werden könnten.. also kein GET

ist es sinnvoll die IP in die session zuübernehmen und dann auf jeder seite zu kontrollieren??..

habt ihr irgendwelche guten vorschläge?..

danke schonmal

vt1816
23.01.2006, 16:11:18
...
ist es sinnvoll die IP in die session zuübernehmen und dann auf jeder seite zu kontrollieren??..
NEIN, denn die IP kann sich von Seite zu Seite ändern, z. Bsp. AOL.

DragonofSilence
23.01.2006, 17:48:59
ahh okay.. . hatte ich mir schon gedacht.. .also das es verbindungsarten, bzw. provider mit nichtstatischen ips gibt.

gibts möglichkeiten, das jemand ne seite mit sessions hackt, wenn die id nirgends zu sehen ist.. mal abgesehen von der rießen chance das ding zu erraten??.. wenn wie kann man sich absichern

feuervogel
23.01.2006, 18:57:37
das problem ist, wenn man die session-id im link übergibt, nicht, dass jemand hinter dir steht und sie abguckt, sondern dass der anwender nen link per mail verschickt und jemand anderes mit ner fremden session eingelogged ist.

ich persönlich überprüfe die ip, da meine ip zwar auch nicht statisch ist, aber nur alle 24 stunden wechselt...und dass bei aol die ip mit jedem seitenaufruf wechselt, kann ich mir nur sehr schwer vorstellen.

xabbuh
23.01.2006, 23:28:38
und dass bei aol die ip mit jedem seitenaufruf wechselt, kann ich mir nur sehr schwer vorstellen.
Das scheint wohl bei AOL zu sein, dass die Anfragen der User, die sich über AOL einwählen, über dynamische Proxies (ist das die richtige Bezeichnung) laufen, so dass bei jeder Anfrage neu "von AOL" entschieden wird, über welchen Proxy letztendlich die Anfrage tatsächlich gestellt wird. Somit haben nicht nur etliche AOL-Benutzer zeitgleich die gleiche IP, sondern wechseln diese nach Außen hin auch häufig.

feuervogel
24.01.2006, 00:27:55
jetzt kann ich den hass einiger menschen auf AOL nachvollziehen :-)

meikel (†)
24.01.2006, 00:46:20
Du vergißt die vielen LANs, die per NAT ins Netz gehen. Da geistern zB. 20 Mann mit derselben öffentlichen IP durchs Netz.