M3g4Star

Ehrlich gesagt durchblick ich dein Vorhaben nicht.

Ich mein einene gesicherten Bereich der mit Sessions und per SSL Verbindung abgesichert ist sollte natürlich prüfen ob die Session aktiv ist.

Wenn keine Session aktiv ist sollte der User darauf hingewiesen werden das seine Session abgelaufen ist und er somit NEU anfangen muss.

Wenn jemand DIREKT in dein gesicherten bereich "eindringen" will dann solltest du das bemerken da die SESSION nicht gesetzt ist.

Weiterhin sollte deine Seite in deinem https-Bereich auf keine http-Seite verweisen da so manch ein Browser dann immer und immer wieder ALARM schlägt !

Vllt solltest du mal dein Vorhaben GENAU schildern. Ein konkretes Beispiel nennen ..

Mister Ad

Nun, Du hast die Situation ja schon ganz richtig umrissen. Nur dass Du sie auf den https-Bereich eingeschränkt hast. Ich unterscheide aber die
Bereiche nicht, da auch außerhalb des https eine Session besteht und ablaufen kann und auch da eine Information an den Besucher notwendig
ist, z.B. weil er seinen Warenkorbinhalt verlieren kann.

Guter Hinweis. Ich muss aber irgendwann den Bereich wieder verlassen, z.B. nach einer Bestellung. Diesen Fall, dass genau in disem Augenblick die
Session abläuft, muss man also mit berücksichtigen.

Da der Starng doch recht schleppend verläuft möchte ich nun gerne meine derzeitige Lösung präsentieren. Vielleicht kann man anhand
dieser nicht nur besser sehen, worum es geht, sondern auch Verbesserungsvorschläge bringen.

Jedesmal, wenn eine Session abläuft (Werte von $_SESSION leer sind),
wird der folgende Code ausgeführt:

Dabei liefert internalReferer() TRUE, wenn $_SERVER['HTTP_REFERER'] eine der Domänen des Betreibers, die in der Datenbank stehen, enthält
(also www.mydom.de, www.my-dom.de etc.). Und $_REQUEST['insideRef'] ist nur dann gesetzt, wenn man aus dem https-Bereich in den http-Bereich
verlinkt. Durch beide Angaben kann ich erkennen, dass es sich um einen Aufruf innerhalb der Seite handelt und daher die Ablaufnachricht
einzublenden ist. Andernfalls geschieht das nicht.

Was mir daran nicht gefällt: (a) auf den REFERER ist nicht 100% Verlass und (b) ich muss jeden Link von https nach http mit dem Parameter
insideRef ausstatten (bei diesem Übergang ist der REFERER ja nicht vorhanden, gibt es vielleicht einen anderen Wert stattdessen?).

Wisst Ihr bessere Lösungen für das Problem...

M3g4Star

// EDIT : Bitte die Beiträge manuell umbrechen //

Du solltest genau dann wenn du deinen https Bereich verlässt deine Session auch zerstören !
Damit dem Kunden die Sicherheit bleibt das seine Daten nicht von Dritten eingesehen werden können.

Sprich :
Nach erfolgreicher Bestellung
Nach dem der Kunde sich ausgeloggt hat
Wenn der Kunde sich auf deiner Seite bewegt und vltl einfach so wieder in den ungeschützten Bereich kommt.

Hinweis dazu: Vllt. soltlest du, wenn du ausserhalb deines gesicherten Bereichs auch Sessions benutzt,
eine $_SESSION['save']=true; setzen damit du weißt ob der Kunde gerade im gesicherten bereich war.

Weiterhin soltlest du vllt vollständig nur mit $_SESSION['woher'] arbeiten
damit könntest du dir deinen REFERER sparen.
Sprich: Du setzt in jeder Seite diese Variable und weißt somit genau ob er aus einen gesicherten/ungesicherten Bereich kommt
oder wenn diese nicht gesetzt von ausserhalb kommt.

Jedoch solltest du dann auch wiederum beachten das der User einfach durch Browser schließen deine Seite verlassen kann.
Dann jedoch noch für die "Lebzeit" deiner SESSION den Wert 'woher' und 'save' gesetzt hat.

Wenn er dann nach kurzer Zeit doch nochmal auf deine Seite kommt ist er sozusagen noch "eingeloggt" aber das Risiko besteht überall.
Deswegen schrieben die meisten auch dazu "BITTE AUSLOGGEN"

Wenn er jedoch auf deine Startseite (den ungeschützten Bereich) kommt muss diese SESSION (oder zumindest der Teil aus dem geschützten Bereich)
SOFORT zerstört werden.

*hm* Vllt. hilft dir mein kleiner denkanstoss und du überlegst dir das mit dem REFERER !!

Grüße

Ok, das war ein interessantrer Beitrag. Regt zum Nachdenken an.

Oder sagen wir es lieber noch genauer: Alle Werte aus der Session, die sicherheitsrelevant sind, sollten zu diesem Zeitpunkt gelöscht werden. Denn die Werte aus dem http-Bereich können und sollten auch darin verbleiben.

Darüber sind wir uns denke ich einig. Schreibst Du ja auch unten. Ich werde das berücksichtigen. Wobei...

Da muss man abwegen: Sicherheit oder Komfort. Wenn ein Kunde bestellt und alle seine Daten bereits eingetragen hat, dann aber noch einmal in den Katalog wechselt und dadurch alle seine Eingaben gelöscht werden... ich denke das wäre eher kontraproduktiv. Aber auch nach einer Bestellung. Stelle Dir vor, er möchte noch einmal bestellen (nachbestellen) und hat sich beim ersten Mal nicht registriert. Hier ist auch abzuwegen: Sicherheit oder Werterhaltung. Das muss jeder Softwarehersteller oder besser Merchant für sich entscheiden. Davon ausgehend, dass die meisten nicht von Cafe aus bestellen und wenn ja, dass viele von Ihnen sich dann ausloggen bzw. den Cookie löschen, würde ich eher die Werte erhalten. Bis auf ganz kritische Stellen (z.B. bei Bankanwendungen oder wenn eine Kreditkarte im Spiel ist).

----------------------

Das zeigt mir, dass Du mein Problem nicht ganz verstanden hast. Denn es geht ja gerade um Sessionablauf. Da hilft es eben nicht, Werte in der Session festzuhalten, was ich übrigens auch schon tue. Ich weiss dann nämlich immer noch nicht, ob die Session abgelaufen und daher leer ist oder ob es ein erster Aufruf der Seite ist und daher leer.

Da hilft dann doch nur der Referer oder ein Parm im Link, scheint mir.

xabbuh

In diesen Fällen hast du allerdings keine zuverlässigen Informationen mehr, woher der Benutzer kommt.

Natürlich kannst du den Referer verwenden, da dieser aber, wie du selbst angemerkt hast, beliebig vom Client verändert werden kann, hilft dir das nicht zwingend weiter.

Letztendlich besteht noch die Möglichkeit, mitzuloggen, von welchen IPs deine Besucher die Seite aufrufen und ob bei diesen eine gültige Session vorhanden war.
So könntest du bei einem Aufruf eines Besuchers, der über keine gültige Session verfügt, prüfen, ob kurze Zeit zuvor ein Besucher mit der gleichen IP auf deiner Seite war und eine gültige Session hatte. In diesem Fall könntest du dem aktuellen Besucher einen entsprechenden Hinweis anzeigen.
Aber auch diese Möglichkeit ist alles andere als zuverlässig. Mehrere Rechner, die über NAT (sei es beim Privatanwender oder in Firmennetzen) im Internet hängen, haben bei einem Besuch deiner Seite die gleiche IP und sind somit nicht zu unterscheiden. Gleiches gilt für Proxies.