WebWork Magazin - Webseiten erstellen lassen, Online Medien, html

Webhoster, Webhosting Provider und Domain registrieren

Home | Registrieren | Einloggen | Suchen | Aktuelles | GSL-Webservice | Suleitec Webhosting
Reparatur-Forum | Elektro forum | Ersatzteilshop Haushalt und Elektronik



Im Homepage und Webhosting-Forum --- Session ID geheim übertragen wenn Cookies nicht aktiviert

ASP, Python, Perl, CGI, Ruby, Ajax, GO, ... Vom Syntax Error bis zum Release, hier ist Platz für Diskussionen !

Forum » Sonstige Web-Programmiersprachen » Session ID geheim übertragen wenn Cookie... - 08 Okt 2024 Antworten
im Forum für Webhosting Homepage gefunden:
Session ID geheim übertragen wenn Cookies nicht aktiviert
schmchris
Mausakrobat
Threadstarter




Beiträge: 159

Ich habe ein Einloggscript und verwende dafür Session. Wenn nun jemand Cookies deaktiviert hat wird ja die Session id über URL weitergegeben.

Kopiert ein Benutzer den Link und gibt ihn weiter (zum Beispiel per ICQ) ist dieser User auch gleich eingeloggt unter dem gleichen Namen.

Das Links weitergegeben werden kommt häufig vor da es sich um eine Partybilderseite handelt.

Ich hab schon mal mitbekommen das das über ein verstecktes Form Feld geht.

Vielleicht kann es nochmal jemand genauer Beschreiben was man einfügen muss und auf was mann dann achten muss.

Danke

  Profil   Editieren   Zitieren
Philipp Gérard
Foren-Team




Beiträge: 1502

überprüf doch einfach die IP der Session bei jedem Seitenaufruf, dann kann nur der Benutzer, der auch wirklich angemeldet ist, die nur Mitgliedern zugänglichen Bereiche sehen.

---
Arbeit ist das Feuer der Gestaltung. - Marx

  Profil   E-Mail   Website   Editieren   Zitieren
schmchris
Mausakrobat
Threadstarter




Beiträge: 159

Soll ich dann wenn IP ungleich ist die Session löschen ? Dann ist der andere USer aber auch ausgeloggt.

Oder wie stellst du dir das vor ?

  Profil   Editieren   Zitieren
Philipp Gérard
Foren-Team




Beiträge: 1502

Nein, einfach am Anfang der Seite:

1: 
2: 
3: 
4: 
5:
if(get_mysql_session_ip($_GET['SID']) != $_SERVER['REMOTE_ADDR']){

die("Fehlerhafte SessionID!");

}


Die Funktion get_mysql_session_ip muss dann einfach anhand der Sessionid die IP des benutzers aus der DB lesen.

---
Arbeit ist das Feuer der Gestaltung. - Marx

  Profil   E-Mail   Website   Editieren   Zitieren
Thomas Mausbach
Foren-Team




Beiträge: 10

Das mit dem versteckten feld:

ne form mit action="POST" auf jeder seite einfügen und mit:


ein feld einfügen

dann haste die SID in ner POST var, ohne das man das feld sieht.

  Profil   Editieren   Zitieren
Philipp Gérard
Foren-Team




Beiträge: 1502

Aber das Post-Formular muss erst übermittelt werden, bevor man $_POST['SID'] überall aufrufen kann. Und das macht man für gewöhnlich nicht mit jedem Link ...

---
Arbeit ist das Feuer der Gestaltung. - Marx

  Profil   E-Mail   Website   Editieren   Zitieren
schmchris
Mausakrobat
Threadstarter




Beiträge: 159

Ich habe es nun wie folgt gelöst :

1.) IP in die Session Speichern
2.) Stimmt Client-IP nicht mit der IP in der Session erfolgt ein logout.

Nur zur Info

  Profil   Editieren   Zitieren
NetDrag
Foren-Team




Beiträge: 442

Wirklich verlassen kannst du dich aber nicht drauf daß die IP richtig ist. Manche Provider vergeben dauernd neue IP's auch während ein user verbunden ist.

---
We are born wet, naked and hungry, then things got worse!

  Profil   Website   Editieren   Zitieren
schmchris
Mausakrobat
Threadstarter




Beiträge: 159

Welche Provider machen denn sowas ?

  Profil   Editieren   Zitieren
Philipp Gérard
Foren-Team




Beiträge: 1502

aol z.b., da kann jede anfrage von einer anderen ip kommen...hässlich sowas. Aber wie soll man es sonst kontrollieren? cookies sind die letzte möglichkeit.

---
Arbeit ist das Feuer der Gestaltung. - Marx

  Profil   E-Mail   Website   Editieren   Zitieren
NetDrag
Foren-Team




Beiträge: 442

das is ein schweres Thema. Generell gibts keine sichere Möglichkeit die immer funktioniert.

Ne kombination von cookies oder wenn die nciht funktionieren, dann im quelltext verstecken müßte schon ganz gut gehen.

Allerdings is das auch net so super.

Warum willst denn das eigentlich verstecken? Wegen dem einen oder anderen Bild ist doch net so schlimm oder?

---
We are born wet, naked and hungry, then things got worse!

  Profil   Website   Editieren   Zitieren
Philipp Gérard
Foren-Team




Beiträge: 1502

aoluser gehören eh ausgesperrt

*aufeinelangediskussioneinstell*

---
Arbeit ist das Feuer der Gestaltung. - Marx

  Profil   E-Mail   Website   Editieren   Zitieren
schmchris
Mausakrobat
Threadstarter




Beiträge: 159

Verstecken aus dem Grund, weil dann der User der den Link mit der Session ID bekommt automatisch als der Uaer eingeloggt ist der ihn versendet hat.

Am Browser kann man es ja leider auch nicht festmachen.

Naja die Leute sind selbst schuld, wenn sie links mit session ID kopieren.

  Profil   Editieren   Zitieren
NetDrag
Foren-Team




Beiträge: 442

Naja, wichtig scheint mir das zu sein wenn jemand was anderes macht als bilder anzusehen.
setz doch einfach wenn sich die ip ändert den user auf untrusted, d.h. er bleit zwar eingeloggt und kann sich bilder ansehen, aber wenn er versucht passwort oder sonst etwas zu ändern muß er in dem formular extra noch mal das alte passwort angeben.

---
We are born wet, naked and hungry, then things got worse!

  Profil   Website   Editieren   Zitieren
schmchris
Mausakrobat
Threadstarter




Beiträge: 159

Der User kann auch kommentare abgeben und privatnachrichten schreiben.

Da jedesmal das Passwort abzufragen wäre unvorteilhaft.

  Profil   Editieren   Zitieren
Seite 1 | 2  

Antworten
Forum » Sonstige Web-Programmiersprachen » Session ID geheim übertragen wenn Cookie...

Aktuelle Beiträge zur Hilfe im Forum für Homepage - Session ID geheim übertragen wenn Cookies nicht aktiviert im Forum Homepage Hosting AntwortenLetztes Posting
Multiplayer Spiele in Visual Basic
in "Sonstige Web-Programmiersprachen"
10 27.10.2023 07:45 von Klais
Programmieren im Web lernen?
in "Sonstige Web-Programmiersprachen"
6 31.08.2021 20:03 von UweBr
Datei automatisch hochladen (lokal->server)
in "Sonstige Web-Programmiersprachen"
4 10.08.2021 12:55 von Al Blank
E-Mails mit Grafana versenden?
in "Sonstige Web-Programmiersprachen"
2 23.07.2021 05:21 von chunmin89
Als Einsteiger womit anfangen?
in "Sonstige Web-Programmiersprachen"
0 10.05.2021 21:35 von Webman
welche Zukunft haben Java Entwickler
in "Sonstige Web-Programmiersprachen"
2 17.03.2021 06:00 von andomthe
c++ fehler
in "Sonstige Web-Programmiersprachen"
2 04.11.2020 08:20 von tuiling
Webseite zu langsam, was tun?
in "Sonstige Web-Programmiersprachen"
7 06.12.2019 16:10 von andyy



Besucher : 8104852    Heute : 54     Gestern : 355     Online : 14     8.10.2024    4:36      0 Besucher in den letzten 60 Sekunden        
Nach oben