session.cookie_lifetime und die Sicherheit?

[mowl]

Momentan löse ich es auf meiner Seite so, das ein User bei Login einen session_start auslöst, d.h. die session ID und die zeit des letzten Aufrufs werden in der Datenbank geschrieben. Damit der User auch später noch eingeloggt ist, setze ich per ini_set() session.cookie_lifetime auf einen Wert(ungleich von 0). Nun meine Frage: Bringt dies irgendwelche großen Sicherheitslücken mit sich oder kann ich dies so belassen?

 

[Angeltv]

Hi,

es bringt eigentlich keine großen Lücken, da ja die Cookies aufm dem Clientgespeichert werden, jedoch kann man, wenn man den Link hat mit dem Sessionanhängsel (meiste index.php?SESSIONID=12kjoko3r324r32oiop) sich auch einloggen.

Tip von mir: Speicher auch die IP des Nutzers im Cookie. Wenn dan jemand anderes versucht die Seite mit der Session zu laden, der nicht die IP hat, kommt er auch nicht rein.

 

[mowl]

Jo thx! Das mit der IP hab ich auch schon eingebaut, habs vergessen zu schreiben

 

[rootssw]

Hallo!

Tip von mir: Speicher auch die IP des Nutzers im Cookie. Wenn dan jemand anderes versucht die Seite mit der Session zu laden, der nicht die IP hat, kommt er auch nicht rein.

Nunja, das hab' ich auf einer meiner Seiten auch mal gemacht.
Leider hatte ich das Problem, dass selbst ich selbst (tolles deutsch ) nicht mehr auf die Seite konnte, weil mein Provider 'ne dynamische IP vergeben hat.

Und da gibt es da noch das Problem mit Netzwerken und Proxy-Servern:
Dadurch können verschiedene Benutzer die selbe IP haben und somit wäre das dann nutzlos.

 

[mowl]

Ja darauf bin ich auch gerade gestoßen.
Das System ist eigentlich auch ohne IP sicher. In der Session speichere ich userid und das Passworz als MD5 Hash, da ich register_globals sowieso off habe nützt es dem Angreifer auch nichts, wenn er die SessionID, die userid und das Passwort in der URL angibt, da sie ja nicht im Skript als Sessionvariablen ankommen.