session hijacking verhindern

Fragen zu allen Themen rund ums Programmieren außerhalb von phpBB können hier gestellt werden - auch zu anderen Programmiersprachen oder Software wie Webservern und Editoren.
Antworten
deathcakeman
Mitglied
Beiträge: 52
Registriert: 22.06.2006 16:10

session hijacking verhindern

Beitrag von deathcakeman »

Gruß leute,
ich suche eine sichere möglichkeit session hijacking zu verhindern.
Dieser Schutz sollte nicht über Cookies und auch nicht über die IP laufen.

ps.
Mein System übergibt die Session über die URL
(http://xxx.xxx/xxx.php?sid=xxx)
Session läuft über db server.

Danke
Nach oben
Benutzeravatar
StarWolf3000
Mitglied
Beiträge: 1019
Registriert: 25.07.2005 10:20
Wohnort: Stolpen
Kontaktdaten:
Kontaktdaten von StarWolf3000

Beitrag von StarWolf3000 »

per .htaccess:

Code: Alles auswählen

php_flag session.use_trans_sid 0
oder per ini_set():

Code: Alles auswählen

ini_set("session.use_trans_sid", "0");
damit kann auf in URL's gespeicherte Sessions nicht zurückgegriffen werden
MOD-Einbauhilfe und Installationen über ICQ, TeamSpeak 2/3 und TeamViewer. Support nur im Forum, eingeschränkt per TeamViewer, aber nicht mehr per PN! • KB:knigge
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Re: session hijacking verhindern

Beitrag von larsneo »

deathcakeman hat geschrieben:ich suche eine sichere möglichkeit session hijacking zu verhindern.
Dieser Schutz sollte nicht über Cookies und auch nicht über die IP laufen.
du kannst die session beispielsweise an den useragent binden. ein session_regenerate bei wichtigen aktionen sollte darüberhinaus selbstverständlich sein.
Mein System übergibt die Session über die URL
(http://xxx.xxx/xxx.php?sid=xxx)
das ist sicherheitstechnisch (und auch in bezug auf SEO) schrott.
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
Antworten

Zurück zu „Coding & Technik“