use_trans_sid gefährllich?

Lord Potassium · Beitrag von **Lord Potassium** » 30.08.2004 22:51

servus
für wie gefährlich haltet ihr es, wenn use_trans_sid bei php aktiviert ist?
einmal für phpbb und dann für ne selbst programmierte seite.

Beitrag von **PhilippK** » 30.08.2004 23:32

phpBB greift da auf eine eigene Routine zu - da ist das relativ egal. Aus Sicherheitsgründen würde ich das jedoch nicht aktivieren - vor allem, wenn Fremde auf deine Seiten zugreifen.

Gruß, Philipp

Lord Potassium · Beitrag von **Lord Potassium** » 30.08.2004 23:42

PhilippK hat geschrieben:phpBB greift da auf eine eigene Routine zu - da ist das relativ egal. Aus Sicherheitsgründen würde ich das jedoch nicht aktivieren - vor allem, wenn Fremde auf deine Seiten zugreifen.

Gruß, Philipp

mein problem ist, dass ich irgendwie ne sessionid übergeben muss auch wenn der user keine cookies akzeptiert.
und jedesmal ne funktion um einen link setzen is auch extrem zaach.

Beitrag von **PhilippK** » 31.08.2004 00:07

Das ist jetzt immer eine Abwägungssache - evtl. solltest du wie bei phpBB noch an kritischen Stellen einen IP-Check mit einbauen - sonst ist das imho zu kritisch.

Gruß, Philipp

Lord Potassium · Beitrag von **Lord Potassium** » 31.08.2004 00:39

PhilippK hat geschrieben:Das ist jetzt immer eine Abwägungssache - evtl. solltest du wie bei phpBB noch an kritischen Stellen einen IP-Check mit einbauen - sonst ist das imho zu kritisch.

Gruß, Philipp

ich hab nun folgendes eingebaut:

Code: Alles auswählen

if($_SESSION['Expire'] < time()){
	session_unset();
	session_destroy();
	include("session.".$kaliumEx);
}

da kann ich die session manuell begrenzen.
denkst du reicht das?
oder kann man das manipulieren?

Beitrag von **PhilippK** » 31.08.2004 06:21

Ein Restrisiko bleibt immer und ich würde dir tatsächlich empfehlen, dort auf die IP zu prüfen...
Aber der Aufwand für Sicherheit ist immer auch eine Abwägungsfrage des Risikos.

Gruß, Philipp

Lord Potassium · Beitrag von **Lord Potassium** » 31.08.2004 08:08

ah du meinst die IP kommt ebenfalls in die session und nur wenn sie ident ist bleibt sie gültig?
gut werd ich zaus implementieren.
restrisiko ist klar. nur wie groß ist das im vergleich zu den cookies. weil im üprinzip kann ich in ein cookie ja auch eine beliebige session-id reinschreiben oder?

Beitrag von **PhilippK** » 31.08.2004 23:32

Nur über ein Cookie geht die Session-ID nicht über einen Referer an eine externe Seite

Wenn z.B. jemand ein Bild auf eine deiner Seiten einbinden kann, gibt's beim Aufruf die aufrufende URL als Parameter. Und wenn die die Session-ID enthält, stehen Tür und Tor offen.

Gruß, Philipp

Lord Potassium · Beitrag von **Lord Potassium** » 31.08.2004 23:53

PhilippK hat geschrieben:Nur über ein Cookie geht die Session-ID nicht über einen Referer an eine externe Seite
Wenn z.B. jemand ein Bild auf eine deiner Seiten einbinden kann, gibt's beim Aufruf die aufrufende URL als Parameter. Und wenn die die Session-ID enthält, stehen Tür und Tor offen.

Gruß, Philipp

aber nur wenn IP und User Agent ident sind und die session nicht abgelaufen ist, da die session wenn auch nur einer der o.g. checks fehl schlägt zerstört wird.

larsneo · Beitrag von **larsneo** » 01.09.2004 09:13

da beispielsweise AOL dynamische IPs - auch während einer verbindung(!) - vergibt, muss man bei der bindung ip<->session ein wenig aufpassen - gemeinhin gelten nur die ersten beiden adressids als statisch.

die sicherheit ist bei cookies definitv wesentlich höher zumal man ja noch ein paar extravorkehrungen gegen session-polution und cookie-hijacking vornehmen kann. von der suchmaschinentauglichkeit taugen session-ids in der url darüberhinaus natürlich gar nix.