Ankündigung

Einklappen
Keine Ankündigung bisher.

[gelöst] Seite sichern durch ständig ändernden Key

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [gelöst] Seite sichern durch ständig ändernden Key

    Ich möchte den internen bereich meiner seite so schützen das beim einlogen eine session ID und ein key vergeben wird.
    Sobald er user auf eine weitere seite geht wird die session ID und der key abgefragt und kontrolliert. Dann ändert sich der key und wird wieder für die nächste seite benutzt.
    So will ich verhindern das jemand sich die session ID des user klaut und missbraucht.
    Der angreifer bräuchte dann die session ID und den gültigen key.


    Wie kann ich sowas realisieren ?
    Oder gibt es noch eine bessere lösung ?
    Das Leben ist ein scheiß Spiel, aber die Grafik ist einfach geil


  • #2
    hm evtl legst du dir ne "key" datei an in der der aktuelle key temporär gespeichert wird und bei jedem neuen seiten aufruf überschrieben und geprüft wird...
    Es ist ein großer Trost, andere dort scheitern zu sehen, wo man selbst gescheitert ist. (William Somerset Maugham)

    Kommentar


    • #3
      hmmm da könnt ich auch die DB nehmen *g*
      nur wie übergebe ich dann den key ?
      Wenn ich ihn in der session übergebe ist er ja auch da wenn jemand die session hackt und get/post ist ja auch unsicher.
      Gibts da was sicheres ?
      Das Leben ist ein scheiß Spiel, aber die Grafik ist einfach geil

      Kommentar


      • #4
        speicher doch in der session auch die IP des benutzers und frag die auch ab, damit hast du auch einen schutz, zwar bringt er nichts in netzwerken (schule oder so) aber trotzdem ziemlich sicher wie ich finde

        Kommentar


        • #5
          Und woher willst du wissen welchen KEY der User gerade hat?
          Dass müsstest du dann in der Session speichern.
          Alternativ würden halt Cookies gehen, weil, wenn der KEY in der Session steht ist das ganze ja sinnlos.

          Kommentar


          • #6
            ähm sessions werden doch auch "nur" in coockies gespeichert normalerweise
            Es ist ein großer Trost, andere dort scheitern zu sehen, wo man selbst gescheitert ist. (William Somerset Maugham)

            Kommentar


            • #7
              @Matthias959
              Klor

              Die IP scheidet leider aus da AOL ja dauernd die IP wechselt
              Das Leben ist ein scheiß Spiel, aber die Grafik ist einfach geil

              Kommentar


              • #8
                Zitat von function
                ähm sessions werden doch auch "nur" in coockies gespeichert normalerweise
                Nö!
                Kannst die Session-ID doch auch an die URL anhängen.

                Kommentar


                • #9
                  aber einmal eingewählt bleibt die ip doch, so wird doch auhc bei vielen online spielen gesichert, was willst du eigentlich machen? das es so rsicher sein soll?
                  Es ist ein großer Trost, andere dort scheitern zu sehen, wo man selbst gescheitert ist. (William Somerset Maugham)

                  Kommentar


                  • #10
                    Ne AOL wechselt öffters *g*
                    Ich will einen shop machen.
                    :wink:
                    Das Leben ist ein scheiß Spiel, aber die Grafik ist einfach geil

                    Kommentar


                    • #11
                      Könntest du also so machen:
                      Session_id: Wird an die URL rangehängt.
                      KEY: Wird in einer Session gespeichert UND in einen Cookie geschrieben.
                      Dann nur noch die beiden Keys vergleichen und fertig!

                      Hätte dann zur Folge, dass du nur von dem Computer, andem die Session erstellt wurde, mit der Session shoppen kannst.

                      Kommentar


                      • #12
                        Zitat von Matthias959
                        Könntest du also so machen:
                        Session_id: Wird an die URL rangehängt.
                        KEY: Wird in einer Session gespeichert UND in einen Cookie geschrieben.
                        Dann nur noch die beiden Keys vergleichen und fertig!

                        Hätte dann zur Folge, dass du nur von dem Computer, andem die Session erstellt wurde, mit der Session shoppen kannst.
                        Dann hat man doch wenn man die session hat auch den key *g*
                        Das Leben ist ein scheiß Spiel, aber die Grafik ist einfach geil

                        Kommentar


                        • #13
                          Ja, aber wenn du den KEY im Cookie nicht hast bringt der KEY dir nichts.
                          Verstehste?

                          Kommentar


                          • #14
                            ah so du will dann das cookie vergleichen dann muß ich das doch nicht extra in der session übergeben sondern ich setze das cookie und schreibe den key in die DB dann frage ich auf der nächsten seite ab und schreibe neu.
                            Alles natürlich noch mit session ID
                            Das Leben ist ein scheiß Spiel, aber die Grafik ist einfach geil

                            Kommentar


                            • #15
                              Db is so ne Sache.
                              Session wäre doch viel Server-freundlicher.

                              Kommentar

                              Lädt...
                              X