Session Problem? Session startet nicht!?

[idenwen]

AW: Session Problem? Session startet nicht!?

Übergebe ich es so per post:
<input type="hidden" name="PHPSESSID" value="session_id()"/> ??

Aber nicht drauf verlassen das die SID die zurück kommt auch die Echte ist oder überhaupt eine ist, alle Daten die vom Nutzer kommen können Manipuliert sein. Immer. Überall.

Und wie übergebe ich es per GET:
http://www..../ga-town/index.php?PHPSESSID=session_id() ??

Jup, zum Beispiel, auch hier trifft die gleiche Warnung wie oben zu.

Je nach Konfiguration hängt der Parser aber an jeden Link auch automatisch die SID dann musst Du es nicht selbst machen.

Grüße und viel Erfolg noch mit dem Projekt

 

[ovbb]

AW: Session Problem? Session startet nicht!?

Da mich das Thema auch interessiert hab ich eine Frage dazu.

Habe mir über Internetrecherchen ein Formular und einen passwortgesicherten Bereich gebastelt.
Dabei wurden die SID() in einem Cookie gespeichert. Sollte ja normalerweise auch standardmäßig sogemacht werden da ich $_SESSION-Variablen verwendet habe.

Leider führte dies dazu, dass bei Browsern (IE) bei denen die Cookies deaktiviert waren das ganze nicht funktioniert hat.

Hab es dann mit ?SID=SID() in jedem Link umgangen.

Gibt es dafür eine elegantere Lösung?

 

[idenwen]

AW: Session Problem? Session startet nicht!?

Hab es dann mit ?SID=SID() in jedem Link umgangen.

Gibt es dafür eine elegantere Lösung?

Meines Wissens nicht.

Ein Lösungsansatz währe noch quasi einen Fingerprint vom Remotesystem (Dem "Besucher") zu erstellen, zum Beispiel aus IP, Browser, Betriebsystem - halt den ganzen Daten die mittransportiert werden bei einem Seitenbesuch, und diese wenn mit einem gespeichterten Satz identisch als gleichen Besucher anzusehen, wenn nicht identisch als neuen Besucher speichern.

Hat halt einen Haken wenn ein Benutzer (oder mehrere womöglich) hinter einem Proxy sitzen oder ähnliches. Und "sicher"... nun ja währe es je nach implementation zwischen mittel und garnicht

Grüße

 

[CIX88]

AW: Session Problem? Session startet nicht!?

Vielleicht eine Komibination aus session.use_trans_sid und url_rewriter.tags bzw. output_add_rewrite_var ...
PHP: Laufzeit-Konfiguration - Manual

Nur ein Beispiel !!!

<?php
session_start();

if ( !isset($_COOKIE['PHPSESSID']) ) {

 if ( isset($_GET['SSID']) && preg_match('~^[0-9a-f]{32}$~',$_GET['SSID']) ) {
  output_add_rewrite_var( 'SSID', $_GET['SSID'] );
 } else {
  output_add_rewrite_var( 'SSID', session_id() );
 }

}

?>

Kurze Erklärung:

Ist kein Session-Cookie vorhanden, wird mittels output_add_rewrite_var() an alle Links automatisch eine SSID angehangen.
Somit braucht man kein Cookie. Nachteil ist allerdings, dass alles manipulierbar ist. Sprich wer keine Cookies animmt ist selber Schuld

http://de.php.net/output_add_rewrite_var

 

[RaVoR]

AW: Session Problem? Session startet nicht!?

Alternativ kann man bei manueller Übergabe der SID folgendes machen um Session-Stealing zu verhindern:

Speicher in der Session, wie bereits vorgeschlagen, einfach IP, Browser und einige andere Daten, die rechnerspezifisch sind und vergleiche, wenn die nächste Seite aufgerufen wird. Je nachdem wie paranoid man ist, kann man jetzt implementieren, ob bereits bei einer Abweichung ein Fehler auftritt oder erst bei mehreren. Wenn jetzt einer, ne SID fälscht, hat er keine Vorteile und klauen kann er auch keine mehr. Nachteil des ganzen ist, wenn der User halt die gespeicherten Daten auf seinem Rechner ändert, so kann es zu Fehlern kommen, aber wer ändert seinen Browser und surft mit der selben SID weiter?

Cookies sind übrigens relativ einfach zu manipulieren. Einfach nen JS-Inject in den Browser und schon hat sich die Sache. Gibt auch noch andere Möglichkeiten. Also wer böses im Sinn hat, kann das auch machen.