Seite 1 von 2
use_trans_sid gefährllich?
Verfasst: 30.08.2004 22:51
von Lord Potassium
servus
für wie gefährlich haltet ihr es, wenn use_trans_sid bei php aktiviert ist?
einmal für phpbb und dann für ne selbst programmierte seite.
Verfasst: 30.08.2004 23:32
von PhilippK
phpBB greift da auf eine eigene Routine zu - da ist das relativ egal. Aus Sicherheitsgründen würde ich das jedoch nicht aktivieren - vor allem, wenn Fremde auf deine Seiten zugreifen.
Gruß, Philipp
Verfasst: 30.08.2004 23:42
von Lord Potassium
PhilippK hat geschrieben:phpBB greift da auf eine eigene Routine zu - da ist das relativ egal. Aus Sicherheitsgründen würde ich das jedoch nicht aktivieren - vor allem, wenn Fremde auf deine Seiten zugreifen.
Gruß, Philipp
mein problem ist, dass ich irgendwie ne sessionid übergeben muss auch wenn der user keine cookies akzeptiert.
und jedesmal ne funktion um einen link setzen is auch extrem zaach.
Verfasst: 31.08.2004 00:07
von PhilippK
Das ist jetzt immer eine Abwägungssache - evtl. solltest du wie bei phpBB noch an kritischen Stellen einen IP-Check mit einbauen - sonst ist das imho zu kritisch.
Gruß, Philipp
Verfasst: 31.08.2004 00:39
von Lord Potassium
PhilippK hat geschrieben:Das ist jetzt immer eine Abwägungssache - evtl. solltest du wie bei phpBB noch an kritischen Stellen einen IP-Check mit einbauen - sonst ist das imho zu kritisch.
Gruß, Philipp
ich hab nun folgendes eingebaut:
Code: Alles auswählen
if($_SESSION['Expire'] < time()){
session_unset();
session_destroy();
include("session.".$kaliumEx);
}
da kann ich die session manuell begrenzen.
denkst du reicht das?
oder kann man das manipulieren?
Verfasst: 31.08.2004 06:21
von PhilippK
Ein Restrisiko bleibt immer und ich würde dir tatsächlich empfehlen, dort auf die IP zu prüfen...
Aber der Aufwand für Sicherheit ist immer auch eine Abwägungsfrage des Risikos.
Gruß, Philipp
Verfasst: 31.08.2004 08:08
von Lord Potassium
ah du meinst die IP kommt ebenfalls in die session und nur wenn sie ident ist bleibt sie gültig?
gut werd ich zaus implementieren.
restrisiko ist klar. nur wie groß ist das im vergleich zu den cookies. weil im üprinzip kann ich in ein cookie ja auch eine beliebige session-id reinschreiben oder?
Verfasst: 31.08.2004 23:32
von PhilippK
Nur über ein Cookie geht die Session-ID nicht über einen Referer an eine externe Seite
Wenn z.B. jemand ein Bild auf eine deiner Seiten einbinden kann, gibt's beim Aufruf die aufrufende URL als Parameter. Und wenn die die Session-ID enthält, stehen Tür und Tor offen.
Gruß, Philipp
Verfasst: 31.08.2004 23:53
von Lord Potassium
PhilippK hat geschrieben:Nur über ein Cookie geht die Session-ID nicht über einen Referer an eine externe Seite
Wenn z.B. jemand ein Bild auf eine deiner Seiten einbinden kann, gibt's beim Aufruf die aufrufende URL als Parameter. Und wenn die die Session-ID enthält, stehen Tür und Tor offen.
Gruß, Philipp
aber nur wenn IP und User Agent ident sind und die session nicht abgelaufen ist, da die session wenn auch nur einer der o.g. checks fehl schlägt zerstört wird.
Verfasst: 01.09.2004 09:13
von larsneo
da beispielsweise AOL dynamische IPs - auch während einer verbindung(!) - vergibt, muss man bei der bindung ip<->session ein wenig aufpassen - gemeinhin gelten nur die ersten beiden adressids als statisch.
die sicherheit ist bei cookies definitv wesentlich höher zumal man ja noch ein paar extravorkehrungen gegen session-polution und cookie-hijacking vornehmen kann. von der suchmaschinentauglichkeit taugen session-ids in der url darüberhinaus natürlich gar nix.