Sicherheit bei per Post-Methode übergebene Werte

[Gumbo]

Sitzungsdateien besitzen eine begrenzte Lebensdauer und werden danach automatisch gelöscht.

 

[CZCC]

Hallo

Danke aber nochmal zum thema faken ich nutze Firefox und wen ich mit den Code von oben Session erstellen lasse dan kann ich diese in Firefox auch unter Cookies finden. Kann man sich dann die nicht einfach egentwie selber erstellen. Bzw was wäre die sicherste Methode um ein Login script zu machen?

Gruß
CZCC

 

[Gumbo]

Prinzipiell kommt es immer auf den genauen Einsatz und die gewünschte Sicherheit an. Die zufällige Sitzungs-ID alleine als Authentifizierungsmerkmal zu nutzen, ist etwa für ein E-Commerce-System fahrlässig.

 

[CZCC]

Ich sag mal jetzt so es ist mittelwichtig der Inhalt. Ich hab mir auch schon überlegt das ich in der Session einen zufallszahl speichere die dan gleichzeitig auch in der DB gespeichert wird. und bei jeden Seitenaufruf wir die Zahl in der Session und in der DB abgegleicht + die IP. Was haltet ihr davon?

 

[Tucker]

Das mit der Zufallszahl ist vergeudeter Aufwand. Was soll das bringen. Du kannst die Session-ID in einer Datenbank speicher. Aber sehe keinen Sinn für die Speicherung der Zufallszahl?!

 

[CZCC]

Wie finde ich die Session Id raus?

 

[Gumbo]

Meinst du die aktuelle einer laufenden Sitzung? Mit session_id()-Funktion.