Ankündigung

Einklappen
Keine Ankündigung bisher.

session cookies manipulation

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige Weiter
  • #1

    session cookies manipulation

    Hallo,ich wollte mal fragen,
    ob ein session_cookie das benutzerdaten enthält,die einen login aufrecht erhalten solllen so sicher ist.
    es wäre z.B. so aufgebaut:
    PHP-Code:
    sessionid=XXXXXXXXXXXX;
    user='Hans';
    login='true; //nachdem das passwort verglichen wurde 
    könnte da nicht jetzt der benutzer (wenn er böse ist ) mit dem browser oder irgendeinem tool seinen namen in 'Peter' ändern und hätte dann zugriff auf den account von Peter?
    Stichworte: -
  • #2
    Dazu müsste er ja die schwer erratbare SessionId von peter erraten. Der Name alleine bringt nichts und hat im cookiecache des Browsers auch nichts zu suchen - ausser der Name wird verwendet um beim nächsten Login das Namensfeld vorauszufüllen.

    Kommentar

    • #3
      aha ok,vielleicht ist mein verständnis von session cookies noch nicht so ganz ausgereift
      ich dachte beim einloggen bekommt man jedesmal eine andere session_id(um session hijacking zu vermeiden)?!Aber es wäre ja nirgendwo gespeichert
      wer sich mit welcher id einloggt?! nur beim einloggen würde der nutzer doch eine id bekommen,damit er dann zuordbar als eingeloggt bleibt?!
      (während der sitzung) wenn er einmal eingeloggt ist,also eine gültige session id besitzt könnte er nach meiner auffassung den namen ja irgendwie ändern,weil das session cookie ja auch nur eine datei wäre...naja

      und wenn der name im session cookiecache des browsers nichts zu suchen hat,woher weiß php dann,welcher nutzer jetzt eingeloggt ist?

      Kommentar

      • #4
        Im Session-Cookie steht lediglich die Session-ID, sonst nichts. Der Verweis auf den Benutzer steht in der eigentlichen Session auf dem Server und kann nicht vom Client geändert werden. Das kannst Du Dir auch live ansehen, indem Du den Session-Cookie im Browser anzeigst und die Session-Datei auf dem Server öffnest.

        Den Cookie zu manipulieren bringt also gar nichts. Man könnte natürlich versuchen, durch Probieren irgendwann zufällig eine gültige Session-ID von einem anderen Benutzer zu erwischen, aber das ist bei einem halbwegs vernünftig konfigurierten Server aussichtslos.

        Wobei manche Anwendungen durchaus auch rein clientseitige Sessions statt der Standard-Sessions benutzen. In dem Fall stehen tatsächlich alle Daten in einem Cookie. Allerdings wird der Cookie dann mit einem MAC vor Manipulation geschützt.

        Kommentar

        • #5
          Aha!! Super danke jetzt ist mir das klar mit den Session_Cookies

          Kommentar

          Vorherige Weiter
          Lädt...
          X