Ankündigung

Einklappen
Keine Ankündigung bisher.

Sessions: Nutzerfreundlich == unsicher?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sessions: Nutzerfreundlich == unsicher?

    Hallo!

    Ich habe ein kleines Loginsystem auf einer Seite implementiert.
    Nun wollte ich besonders nutzerfreundlich sein und auch Browser erlauben die keine Cookies akzeptieren, dazu habe ich bei jedem Link auf der Seite die Session ID mitgegeben. Das ganze funktioniert auch wunderbar, aber nun gibts da einen kleinen Konflikt:

    Wenn sich jemand nicht ordnungsgemäß ausloggt, dann könnte ein Nutzer der nach ihm kommt über die Browser History, einfach sein "Profil" öffnen, weil ja die Session ID im Link steht.

    Ich kann also entweder nur das eine oder das andere haben.
    Sehe ich das richtig? Von Timeouts bei Sessions halte ich in meinem Fall nicht viel.

  • #2
    Das siehst Du wohl richtig.

    Kommentar


    • #3
      Das Timeout wird auf jeden Fall kommen. Meist aber wohl zu spät. Du kannst nicht die Session-ID verstecken, wenn sie direkt im Link steht. Du kannst höchstens verschärfte Kontrollen der IP und des User-Agents durchführen. Du kannst nämlich davon ausgehen, dass sie die Faktoren währen einer Sitzung nicht ändern.
      Es sei denn, du hast viele User mit Proxy.
      Refining Linux: “[url=http://www.refining-linux.org/archives/65/Performing-push-backups-Part-1-rdiff-backup/]Performing Push Backups – Part 1: rdiff-backup[/url]”

      Kommentar


      • #4
        genau das was marko sagt.. schreibst in eine session-variable die ip des users und schaust ob sie sich im laufe der session ändert, falls ja lass dir was einfallen. schreib halt irgendwas wie das sich die ip zur session geändert hat un der user sein password nochmals eingeben soll
        Under Construktion

        Kommentar


        • #5
          Ich glaube dann werde ich mich doch für die nutzerunfreundliche Variante entscheiden und die Session IDs wieder aus den Links rausnehmen.

          Kommentar


          • #6
            @Hu5eL: Manko, nicht Marko!
            Refining Linux: “[url=http://www.refining-linux.org/archives/65/Performing-push-backups-Part-1-rdiff-backup/]Performing Push Backups – Part 1: rdiff-backup[/url]”

            Kommentar


            • #7
              Zitat von Manko10 Beitrag anzeigen
              @Hu5eL: Manko, nicht Marko!
              ohhh peinlich
              Under Construktion

              Kommentar

              Lädt...
              X