Sicherheitslücken mit header() weg?

[Spike15]

Hallo ich wollte mal etwas zum Thema Sicherheitslücken fragen und zwar, man kent ja das Problem, wenn man ein communitysystem macht mit einloggen usw. und der user sitzt im internetcafè, dann können die daten am rechern nachvollzogen werden,stimmts!

ich hab ejetzt in meinem Buch von O'reilly ein script gefunden, was diese Sicherheitslücke wegmacht

header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header("Last-Modified: ".gmdate("D, d M Y H:i:s")." GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");

nun wollte ich fragen, ist das wikrlich so? Wäre es schlimm wenn ich diesen Code ganz am anfang in eine Datei schriebe die immer in einer datei aufgerufen wird??
Also wenn ichd en code in die global.php schreibe und diese datei immer in anderen datei includiere, ist das okay? Danke, da Sicherhiet ein ernstzunehmendes Thema ist.


danke.

[c4]

Und was soll das ändern? Sollte im Internetcafe jeder Request aufgezeichnet werden, dann hilft Dir das gar nichts. Es verhindert nur, dass die Dateien gecached werden. Ich wäre mir auch gar nicht mal so sicher, ob sich da jeder Browser - abhängig von den Einstellungen - daran hält.

[Spike15]

mhh okay, aber wie kann ich dasd dann alles lösen, damit sollche sicherheitslücken nicht auftreten
aber wenn ich es in die datei schriebe mit den headern ist es abe rnicht verkehrt oder?

[c4]

Die Daten kannst Du ruhig schicken, tut ja nicht weh.

Wenn Du mit SessionIDs arbeitest, dann sorge dafür, dass sie NIE per GET (also auch Links) übergeben werden. Willst Du es also sicher, dann müssen hier wohl Cookies ran.
---
Bevor sich wer beschwert: ich hoffe doch, dass in I-Net-Cafes die Einstellungen und Daten vom Vorgänger IMMER gelöscht werden.
---
Sensitive Daten sowieso immer nur per POST übermitteln.

Wirkliche Sicherheit - besonders im Hinblick auf I-Net-Cafes - bekommst Du aber leider nicht.

[Spike15]

Ich benutzte immer cookies, nie sessions

[Serp]

Schon mal was von Sessioncookies gehört? ;)

[Spike15]

Sessionscookies,davon hab eich gehört aber wiessen tu ich net was des ist!

[xabbuh]

Zitat:

Zitat von Spike15

Sessionscookies,davon hab eich gehört aber wiessen tu ich net was des ist!

Das sollte dir weiterhelfen: http://tut.php-q.net/sessions.html

[Spike15]

lol ich bin doch kein n00b ich weiß wie ich mit session und cookies umgehen soll, bloß sessioncookies kennsch net

[dachris]

Ganz einfach....sessioncookies gibts net :;-)

Sessiondaten werden immer am Server gespeichert...

Im Cookie wird nur die Sessionid festgehalten....