Session Time ???

[killerbees19]

Eine kurze Frage:

Könnte es gefährlich sein, wenn ich die Session Time eines Users ($userdata['user_session_time']) auf einer Seite anzeigen lassen? Könnte dadurch jemand die Session hacken, oder ist das ungefährlich?

Danke schon im Voraus.


MfG Christian

[killerbees19]

Hat niemand eine Ahnung, ob das Gefährlich sein könnte?


MfG Christian

[gn#36]

Ohne Garantie:
Ich kann es mir nicht vorstellen dass das besonders problematisch wäre. Die Session wird ja nur über die ID eindeutig identifiziert, die Zeit dagegen könnte (theoretisch) bei mehreren Usern identisch sein. Es kann allerdings sein, dass über die Zeit der Ablauf der Session geregelt wird (ab wann ungültig). In dem Fall würde das dann natürlich ein Indikator sein, wie lange ein Hacker Zeit hat, die eine best. SID zu knacken. Angesichts der Anzahl an Möglichkeiten für eine SID ist das aber auch nicht unbedingt eine große Hilfe würde ich vermuten...

[killerbees19]

Hmmm....

Also auf die Sekunde genau sehen könnte es eh nur ein registriertes Mitglied, dass das Datumsformat auf H:i:S stellt...

Ich könnte es mir auch nicht vorstellen, dass damit ein Sicherheitsrisiko besteht, aber ich möchte nicht ein offnes Tor für Hacker haben, dass sie die Session einfacher hacken können..
Mal sehen ob jemand anderes noch mehr weiß.

Vielen Dank einmal für deine Anwtort.

[Miriam]

So weit ich es einschätzen kann, ist es unschädlich, den Beginn der Session zu zeigen, denn die session_id wird so generiert:

Code: Alles auswählen

$session_id = md5(dss_rand());

Die Funktion dss_rand() erzeugt einen zufälligen Wert auf basis des sich ändernden Wertes rand_seed in der config-Tabelle des Boards.

Code: Alles auswählen

	$val = $board_config['rand_seed'] . microtime();
	$val = md5($val);
	$board_config['rand_seed'] = md5($board_config['rand_seed'] . $val . 'a');

Das sollte nicht knackbar sein.... nicht in endlicher Zeit.

[killerbees19]

Okay, danke euch beiden


MfG Christian