Seite 1 von 1
Session id in url
Verfasst: 30.07.2006 14:51
von scheibenbrot
Hallo,
ich möchte es so haben, wie es
HIER beschrieben wird, unter
Übertragung in der URI.
Wäre das möglich??
Ich möchte also, dass die Session ID in der url steht
Danke
mfg
Verfasst: 30.07.2006 15:10
von cYbercOsmOnauT
Du befindest Dich im Coding-Forum. Somit suchst Du Ansätze und keine Lösungen.
Ich an Deiner Stelle würde mich an die Funktion append_sid machen. Dort ist jedenfalls der beste Start. Die SID ist zudem sowieso im Cookie. Wozu willst Du sie in der URL stehen haben? Oder soll das Board dann "Cookiefrei" funktionieren?
Gruß,
Tekin
Verfasst: 30.07.2006 15:17
von scheibenbrot
Ja, also ich dachte das wäre besser
Verfasst: 30.07.2006 15:56
von cYbercOsmOnauT
Nicht wirklich. Denn wenn einer ne URL mit SID findet, kann er so supereinfach Session-Highjackig betreiben. Ohne Cookies ist immer die unsichere Methode.
Es muss ja bloß ein User aus nem I-Café auf dem Board gewesen sein. Der nächste setzt sich an denselben PC und kann in der History das Board plus SID aufrufen und ist dann User Nummer 1.
Tekin
Verfasst: 30.07.2006 16:20
von Jensemann
Von den Sicherheits Implikationen einmal abgesehen macht es auch die Links auf das Forum so "hässlich". Klar, einige neue User hier sind immer wieder fasziniert vom technischen "aussehen", da macht so eine kryptische Zeichenkette in der URL natürlich mächtig was her, aber wirklich sinnvoll ist das nicht.
Es hat seine Gründe das phpBB die Session-ID nur dann in die URL verpackt (&sid=lalalalalala) wenn kein Cookie gesetzt werden konnte.
Verfasst: 30.07.2006 16:27
von scheibenbrot
ok, dann ist es wohl doch besser so, wenn die session nicht in der url steht.
mfg
(kann geclosed werden)