Einzelnen Beitrag anzeigen
  #21  
Alt 28.12.2007, 17:03:50
defabricator defabricator ist offline
Senior Member
 
Registriert seit: Sep 2007
Ort: Potsdam
Alter: 55
Beiträge: 1.020
AW: Session Re-Loaden

Zitat:
Zitat von rambi
Sollte dieses einfach so möglich sein, ist das System schlampig programmiert! Man läßt damit sogar die versehendliche Doppelvergabe von SessionIDs zu. Ich weiß, die Wahrscheinlichkeit für einen solche Zufall liegt irgendwo bei 1:16^32, aber Zufall bleibt Zufall.
Hä? Wie schließt Du von Sessionübernahme auf doppelte Id Vergabe? Völlig schleierhaft.
Zitat:
Zitat von rambi
Also, will man Sessions übernehmen können, dann muß das Script schlampig geschrieben worden sein.
Nochmal: Deine Skripte kommen immer an die Daten ran oder werden die nur noch magisch verarbeitet? Das Beispiel ist wie gesagt arg verkürzt, aber ob ich nun session_start(); print_r($_SESSION) oder
Code:
da_supermagic_session_starter_function( da_supersecret_password_getter() ); da_supersessiondata_getter();
o.ä. aufrufe, ist doch Jacke wie Hose (für dieses Problem hier).
Zitat:
Zitat von rambi
Sessionübernahmen sollten immer erkannt werden. Zumindest darf ein "Fremder" nicht ohne zusätzliche und hohe Hürden an Sessiondaten nutzen können.
Wer ist denn hier "der Fremde"? Niemand. Nochmal: Es geht um server-seitige Übernahme der Session. Das Skript wird dafür verändert. Wer ändert? Jemand mit der Rolle:Entwickler. Da gibt es keinen "Fremden", nur Skript und Entwickler. Das gilt eingeschränkt sogar, wenn man nicht den Quellcode sondern nur Obfuscatorzeugs oder ein verschlüsseltes Skript hat.
__________________
Wat der Bauer nich kennt, dit frisster nich.

Geändert von defabricator (28.12.2007 um 17:14:23 Uhr)
Mit Zitat antworten