SID Sicherheitsrisiko?

A

Apon

Mitglied
Hallo zusammen!

Ich gebe die session_id, welche in eine Datenbank eingetragen wurde, mit folgendem Code an eine andere PHP-Datei weiter:

PHP: 
<?
...
  echo '<form action="formular.php?'.SID.'" method="post"><input name="weiter" type="submit" value="weiter"></form>'
...
?>

Nun steht aber ist aber die session_id beim Anzeigen des Formulars in der Adressleiste zu finden.
Ist das ein Sicherheitsrisiko?
Wenn ja wie kann ich das Anzeigen der session_id unterbinden?

Anmerkung:
Ich habe vor die gesamte Sache über Secure Server Line (SSL) laufen zu lassen.

MfG Apon
 
Sessions werden durch die Verwendung von Session-Cookies etwas sicherer als bei der Uebergabe der SessionID im URL. Dementsprechend finde ich sollten im Grunde beide Moeglichkeiten angeboten werden.
Mit einem simplen Cookie-Check kann festgestellt werden ob mit Session-Cookies gearbeitet werden kann oder ob die SessionID im URL uebergeben werden muss.
 
Allgemein ist die Übergabe des Sitzungs-ID im URL nicht gefährlicher als im Cookie. Erst wenn es sensible, sitzungsbezogene Daten gibt, die gespeichert sind, erhöht Letzteres die Sicherheit etwas. Deswegen solltest du auch vor Abschulss einer sicherheitsrelevanten Aktion, beispielsweise der Kauf eines Artikels, zusätzlich erneut die Identität des Benutzers prüfen, in dem er beispeisweise sein Passwort noch einmal angeben muss, auch wenn er bereits angemeldet ist.
Schlussendlich hängt es vor allem davon ab, ob und welche personenbezogenen Sitzungsdaten gespeichert werden.
 
@ Gumbo

Danke für deine Antwort. Habe mich ein wenig in die Sache mit Cookies eingelesen und bemerkt, dass es doch eine relativ komplexe Thematik ist. Aus deiner Antwort kann ich jedoch schließen, dass es für mein Vorhaben nicht unbedingt nötig ist Cookies zu verwenden, da lediglich Daten eingegeben werden, die ohnehin im Netzt erscheinen werden. Der registrierte Nutzer soll die Möglichkeit haben Berichte auf die Homepage zu setzen (Spielberichte unseres Fußballvereins).
Ich werde aber dennoch versuchen die session_id per Cookie zu übergeben, allerdings nur um es zu lernen.

Danke nochmal an alle...

MfG Apon
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück