Aktuelles
SELFPHP
shopware Partner
SELFPHP Dokumentation
Premium-Partner
Anbieterverzeichnis
CronJob-Service
Services
Produktempfehlung
Internet Security
- sponsored by
CronJob-Service bei SELFPHP mit ... |
|
:: Anbieterverzeichnis ::
Globale Branchen
Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP 
:: Newsletter ::
Abonnieren Sie hier den kostenlosen
SELFPHP Newsletter!
|
|||||||
| PHP Grundlagen Hier kann über grundlegende Probleme oder Anfängerschwierigkeiten diskutiert werden |
 |
|
|
Themen-Optionen | Ansicht |
|
|
|
#1
21.10.2002, 00:03:21
|
|||
|
|||
|
Sessions vs Originalkekse | Sicherheitsapsekte
Seid gegrüßt werter Leser dieses Beitrages,
nachdem ich mich (endlich... hab mich lange darum drücken können) mit sessions auseinander gesetzt habe musste ich doch feststellen das sessions mehr als ungeeignet sind für sämtliche loginscripts, da ein hijack kinderleicht ist (einfach die sid ersniffen )... da stellt sich mir die Frage ob das alte cookie-system nicht sicherer ist als das sessions-system, gut wenn session-cookies benutzt werden sollte es ja ungefähr auf das selbe Maß an Sicherheit herraus kommen. Die Frage die mich eigentlich quält ist die: Wie kann man halbwegs sichere sessions generieren... villeicht hat ja jemand eine vernünftige Lösung für sichere sessions gefunden, dieser darf seinem Drang nach Informationsweitergabe gerne nachgeben und mir seine Ideen/Hinweise/wasauchimmer dazu mitteilen ;)
__________________
... signature failed to load... 
|
|
|
|
#2
21.10.2002, 12:23:25
|
|||
|
|||
|
ob du jetzt die session-ID aus der URL sniffs oder das Cookie was gesendet wird sniffs ist ja wohl egal ;).
Aber nicht jeder Browser hat Cookies aktiviert. Ich meine Session ist so eingerichtet das es Cookies, wenn möglich, benutzt. Sonst wird eben die Session-ID über die URL mitgeschleift. Sicherheit gegen sniffen hast du erst mit https
|
|
#3
28.01.2003, 12:20:06
|
|||
|
|||
|
Hallo progman,
mit sessions bin ich auch gerade am ausprobieren. Ist 'ne super Sache, aber, wie Du sagst, nur mit HTTPS. Aber: wie geht das? Wie erzeuge und uploade ich eine Formularseite, die per HTTPS aufrufbar ist? Und wie funktioniert dann das mit den Zertifizierungen für Sichere Seiten und so? Grüße Andi
|
|
#4
28.01.2003, 15:16:11
|
||||
|
||||
|
hi progman, das würde mich auch interessieren, wenn du mal ne kleine einführung über SSL hier posten könntest (man findet im internet nichts dazu, nur tausende "werden sie hacker"-seiten)
Was cookies bzw. sessions betrifft, natürlich gibt es sicherere methoden. Beispielsweise, wenn du bei jedem Request eine neue Session ID festsetzt, dann kann man zwar die Session ID erschnüffeln, aber sie bringt nichts, weil sie schon wieder abgelaufen ist. Dazu wirst du allerdings PHP - Interne Session System nicht verwenden können, sondern musst dir was eigenes machen. hab ich schon mal gemacht, funktioniert recht gut.
|
|
#5
28.01.2003, 16:29:54
|
|||
|
|||
|
Hallo progman und Matt,
hier ist zumindest mal ein interessanter Link zum Thema SSL: http://dynamic-webpages.de/php/ref.openssl.php Zu Info: ich bin der, der neulich wegen der Unterschriftenaktion zum 1. Mal bei Euch gepostet habe. SSL ist deshalb für mich von höchstem Interesse. Grüße Andi
|
|
#6
29.01.2003, 11:51:22
|
||||
|
||||
|
die übersetzte PHP Doku hilft da auch nicht viel weiter, weil ich mich mit SSL nicht auskenne, wie das funktioniert - ich brauch grundlagen darüber, nicht das php manual! Wäre nett, wenn das jemand hätte...
|
|
#7
29.01.2003, 12:04:27
|
|||
|
|||
|
http://www.ssl.de/ssl.html <- Kurzbeschreibung wie SSL funktioniert.
|
|
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
Linear-Darstellung
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 18:05:25 Uhr.
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt