LoginSystem mit Sessions gänzlich ohne Cookies!

[Stephanmaster]

HI @ all,..

habe mir mal folgendes Tut angeschaut:
[PHP/MySQL] Login-System mit Sessions
http://www.tutorials.de/forum/showthread.php?p=677505


so, alles prima... nur, wenn ich cookies ganz ausschalte, geht nix mehr. ein user kann sich NICHT mehr einloggen.
des script gibt nämlich sobald ein cookie nicht die SID NICHT per Url weiter

Ich möchte jetzt bewirken, dass bei dem Script von vornherein die SID (Session ID) IMMER über die URL weitergegeben werden muss.

Habe jedoch keinen zugriff auf irgendwelche *.ini s, da ich nur einen shared webspace habe.


Hier also jetzt meine Frage, was genau muss ich an dem Code (Der vom oben geposteten Tut) verändern, dass die SIDs automatisch IMMER per URL weitergegeben werden, und Cookies NIE mehr verwendet werden!



Bitte um Antwort!
Stephan Hofmann

 

[Oliver Gringel]

Diese Einstellungen kann man nur in der php.ini machen. Wenn du keinen Zugriff auf diese hast, kannst du daran nichts ändern.
Außerdem bringt es einige Sicherheitsrisiken mit, die Session-ID in der URL zu übergeben, deshalb ist es nicht besonders ratsam, das zu erlauben. (Deshalb hat es dein Provider wohl auch deaktiviert)

 

[Sicaine]

Diese Einstellungen kann man nur in der php.ini machen. Wenn du keinen Zugriff auf diese hast, kannst du daran nichts ändern.
Außerdem bringt es einige Sicherheitsrisiken mit, die Session-ID in der URL zu übergeben, deshalb ist es nicht besonders ratsam, das zu erlauben. (Deshalb hat es dein Provider wohl auch deaktiviert)

Cookies sind genauso "sicherheitsrisiken". Ansonsten geht ja der Sinn der Session verloren da ein Sessioncookie ansich eigentlich die Alternative darstellen soll und nicht die Regel.

 

[Stephanmaster]

Also habe ich es richtig verstanden, dass es außer über die php.ini KEINEN anderen weg gibt, ausschlieslich die übergabe der SID per URL im code einzustellen...


das muss doch im code irgendwei einstellbar sein, dass die SID IMMER per URL übergeben werden soll!


Bitte um Antwort
Mit freundlichen Grüßen
Stephan Hofmann

 

[Lukasz]

Soweit ich weis nicht! Standatmässig macht Linux das auch über die URL es sei denn es ist was anders kalibriert. Aber wo leigt das Prob das umzustellen?

 

[Oliver Gringel]

Cookies sind genauso "sicherheitsrisiken". Ansonsten geht ja der Sinn der Session verloren da ein Sessioncookie ansich eigentlich die Alternative darstellen soll und nicht die Regel.

Nein. Man sollte nur Session-Cookies verwenden, und auf die Übergabe der Session-ID per URL gänzlich verzichten. Man könnte es noch alternativ zu den Session-Cookies machen, aber das birgt, wie gesagt, einige Sicherheitsrisiken.

Ich kann dir von deinem Vorhaben nur abraten.

 

[Stephanmaster]

also... es gibt ein paar NEUIGKEITEN:

1. sicherheitsrisiken sind mir vollkommen egal!
2. ich habe php.ini zugriff
3. ich will lediglich wissen, wie das Login-System wie im Tut aus tutorials.de beschrieben , nur, dass die session id NUR und IMMER per URL übergeben wird. das ist alles!

 

[Sicaine]

Nein. Man sollte nur Session-Cookies verwenden, und auf die Übergabe der Session-ID per URL gänzlich verzichten. Man könnte es noch alternativ zu den Session-Cookies machen, aber das birgt, wie gesagt, einige Sicherheitsrisiken.

Ich kann dir von deinem Vorhaben nur abraten.

Wenn wirklich jemand deine Daten abfangen will, dann kannst dus so und so nur mit ssl "sicher" gestalten ansonsten is beides so unsicher wie eine offene Tür.

 

[Oliver Gringel]

Wenn wirklich jemand deine Daten abfangen will, dann kannst dus so und so nur mit ssl "sicher" gestalten ansonsten is beides so unsicher wie eine offene Tür.

Aber die Cookies sind nicht für jedermann einsehbar. Der Cookie wird nach schließen des Browsers gelöscht, der Link mit der SID bleibt im Browser-Cache. Wenn jemand einen Link von der Page per eMail/IRC/etc. verschickt, bekommt er so gleich die SID mitgeliefert, und hat somit vollen Zugriff auf deinen durch den Login geschützten Bereich.
Sicher kann es immer sein, dass jemand deine Verbindung abhört, aber da kommt es aufs gleiche raus. Nur die URL-Variante ist auch im "normalen" Einsatz (ohne dass gleich 100 Hacker auf dich lauern) sehr unsicher.

 

[Stephanmaster]

man, jetzt vergesst doch mal den ganzen sicherheitskrams...

hat also jemand ne idee wie verwirklichen kann was ich will`?

"3. ich will lediglich wissen, wie das Login-System wie im Tut aus tutorials.de beschrieben , nur, dass die session id NUR und IMMER per URL übergeben wird. das ist alles!"


?