Sicherheitslücke SESSION ID

[Sunke]

Hallo... hoffe könnt mir helfen...

Habe ein großes Projekt mit so 1000 Mitgliedern. Diese loggen sich ein und bekommen eine Session ID. Bei Usern die Cookies akzeptiert haben wird diese nicht in der URL angezeigt, aber bei denjenigen welche keine Cookies akzeptieren erscheint diese in der URL.....

Google hat jetzt so eine Adresse aufgenommen und wenn man nun auf diesen Link bei google klickt ist man mit jemanden anders eingeloggt

Für mich ein richtiges Problem und einen große Sicherheitslücke....

Ich wäre für jede schnelle Hilfe super Dankbar!!
Schon mal riesen Dank im Voraus!

 

[Andreas Späth]

Du könntest die Session IDs an die IP beim einloggen binden, und sie eventuell schneller verfallen lassen.

 

[Sunke]

hi... versteh das leider nicht ;-)

also ich hab jetzt nur session_start();

mehr hab ich nicht in der index....

 

[firstlord18]

ja und? Nun speicherst du eben die IP, den aktuellen Timestamp und die Session-ID in ne Datenbank. Dann checkst du bei jedem Seitenaufruf, ob die Session-ID mit der aus der DB und die aktuelle IP mit der aus der DB übereinstimmt, und der Zeitunterschied nicht zu groß ist!
Fertig!

 

[Gudy]

sag deinem webserver einfach wie lange die session gültig ist....

 

[Dr Dau]

Hallo!

Und wenn das nicht möglich ist, dann setzt Du die Verfallszeit halt mit der Funktion session_cache_expire().
Einfach mal die verschiedenen Funktionen für Sessions angucken.

Gruss Dr Dau