phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

session hijacking verhindern

https://www.phpbb.de/community/viewtopic.php?t=138155

Seite 1 von 1

session hijacking verhindern

Verfasst: 17.12.2006 13:56
von deathcakeman
Gruß leute,
ich suche eine sichere möglichkeit session hijacking zu verhindern.
Dieser Schutz sollte nicht über Cookies und auch nicht über die IP laufen.

ps.
Mein System übergibt die Session über die URL
(http://xxx.xxx/xxx.php?sid=xxx)
Session läuft über db server.

Danke

Verfasst: 17.12.2006 17:57
von StarWolf3000
per .htaccess:

Code: Alles auswählen

php_flag session.use_trans_sid 0
oder per ini_set():

Code: Alles auswählen

ini_set("session.use_trans_sid", "0");
damit kann auf in URL's gespeicherte Sessions nicht zurückgegriffen werden

Re: session hijacking verhindern

Verfasst: 17.12.2006 21:25
von larsneo
deathcakeman hat geschrieben:ich suche eine sichere möglichkeit session hijacking zu verhindern.
Dieser Schutz sollte nicht über Cookies und auch nicht über die IP laufen.
du kannst die session beispielsweise an den useragent binden. ein session_regenerate bei wichtigen aktionen sollte darüberhinaus selbstverständlich sein.
Mein System übergibt die Session über die URL
(http://xxx.xxx/xxx.php?sid=xxx)
das ist sicherheitstechnisch (und auch in bezug auf SEO) schrott.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de