Ankündigung

Einklappen
Keine Ankündigung bisher.

Ungültige und gültige Sessions

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Ungültige und gültige Sessions

    Hallo zusammen, wir betreiben einen weltweiten Onlineshop und haben ein (kleines?) großes Problem: Jeder Kunde wird in eine eigene Gruppe gesetzt. Einige Gruppen haben die Berechtigung für bestimmte Produkte. Soweit kein Problem. Doch was passiert, wenn ein Kunde aus einer Gruppe mit erweiterter Berechtigung die URL an xy sendet? Solange die Session aktiv ist, würde der Empfänger als der Sender eingeloggt sein und würde Produkte sehen, die er nicht sehen darf.

    Wir haben nun versucht über eine Abfrage (Browser, Sprache, Referer etc.) dieses zu verhindern (Empfänger bekommt den Link, neue Session wird erzeugt...) Hat auch einigermassen funtkioniert - nur das bei einigen Kunden nun laufend neue Sessions generiert worden sind und sie automatisch ausgeloggt wurden (in der MySql Datenbank sind die Sessions noch aktiv.....?!?).

    Wir benutzen keine Cookies, gibt es einen einfachen (oder auch schweren) Weg unsere Anforderung zu realisieren?

    Weiterhin würde uns interessieren, welches Unternehmen, bzw. welcher Programmierer in Deutschland als PHP Papst gilt und ob man diesen in solchen Fragen kontaktieren kann.

    danke und gruß
    Micha


  • #2
    Wie wäre es, wenn ihr einfach zusätzlich noch die IP mit in die Session speichert und wenn diese gleich der aufrufenden IP ist, dann muss keine neue session erzeugt werden ansonsten eben schon.

    Kommentar


    • #3
      IP

      Wenn s doch so einfach wäre.....AOL und andere wechseln die IP alle x sekunden (Das heisst, dass eingeloggte Kunden nach x sekunden ausgeloggt würden). In großen Unternehmen arbeiten alle mit der gleichen IP. Bis auf die ersten beiden Stellen kann man das also (leider) nicht nutzen.

      gruß
      Micha

      Kommentar


      • #4
        Wenn ihr keinerlei cookies verwenden wollt, dann fällt mir jetzt keine möglichkeit ein, dieses Problem zu umgehen.
        Wenn es euch jedoch nicht stören würde zumindest session cookies zu verwenden, dann könntet ihr in der php.ini die option session.use_only_cookies auf 1 setzen wodurch die session id nicht mehr in der url auftauchen würde.
        Dann könnten die Kunden die links ohne probleme weitergeben.

        Kommentar


        • #5
          cookies

          werden wir morgen früh gleich probieren, hört sich jedenfalls vielversprechend an !!! DANKE schonmal!

          gruß
          Micha

          Kommentar


          • #6
            ähm nur eine frage übergebt ihr die session id in der url? wenn ja ist klar das jemand anderes die session übernehmen kann aber warum sollte man die session id in der url übergeben mache ich bei keinem projekt...

            Kommentar


            • #7
              Das Problem wird oft diskutiert such einfach mal in Google nach Session Hijacking oder ähnlichem.

              Zitat von fragnicht Beitrag anzeigen
              ähm nur eine frage übergebt ihr die session id in der url? wenn ja ist klar das jemand anderes die session übernehmen kann aber warum sollte man die session id in der url übergeben mache ich bei keinem projekt...
              Weil sonst bspw. der Login für Leute die Cookies deaktiviert haben nicht mehr funktioniert....
              Create your own quiz show.

              Kommentar


              • #8
                Zitat von agrajag Beitrag anzeigen
                Das Problem wird oft diskutiert such einfach mal in Google nach Session Hijacking oder ähnlichem.

                Weil sonst bspw. der Login für Leute die Cookies deaktiviert haben nicht mehr funktioniert....
                Stimmt leider ... müsste man halt voraussetzten

                Ansonsten würde ich sagen das man alle möglichen variablen des PC abgreift also alle Infos Sammeln stimmt eine davon nicht mehr heißt es und Tschüß

                Kommentar


                • #9
                  du musst einfach auf jeder seite die Session-ID neu generieren...
                  session_regenerate_id();
                  dann gibt es keine Möglichkeit eine aktive Session zu missbrauchen...
                  Wird übrigens bei Bankensystemen auch so eingesetzt...
                  mfg
                  CHAOS.A.D

                  Kommentar

                  Lädt...
                  X