Session ID geheim übertragen wenn Cookies nicht aktiviert
schmchris Mausakrobat Threadstarter
Beiträge: 159
Ich habe ein Einloggscript und verwende dafür Session. Wenn nun jemand Cookies deaktiviert hat wird ja die Session id über URL weitergegeben.
Kopiert ein Benutzer den Link und gibt ihn weiter (zum Beispiel per ICQ) ist dieser User auch gleich eingeloggt unter dem gleichen Namen.
Das Links weitergegeben werden kommt häufig vor da es sich um eine Partybilderseite handelt.
Ich hab schon mal mitbekommen das das über ein verstecktes Form Feld geht.
Vielleicht kann es nochmal jemand genauer Beschreiben was man einfügen muss und auf was mann dann achten muss.
Danke
 Profil
Editieren
Zitieren
Philipp Gérard Foren-Team
Beiträge: 1502
überprüf doch einfach die IP der Session bei jedem Seitenaufruf, dann kann nur der Benutzer, der auch wirklich angemeldet ist, die nur Mitgliedern zugänglichen Bereiche sehen.
---
Arbeit ist das Feuer der Gestaltung. - Marx
 Profil
E-Mail
Website
Editieren
Zitieren
schmchris Mausakrobat Threadstarter
Beiträge: 159
Soll ich dann wenn IP ungleich ist die Session löschen ? Dann ist der andere USer aber auch ausgeloggt.
Oder wie stellst du dir das vor ?
 Profil
Editieren
Zitieren
Philipp Gérard Foren-Team
Beiträge: 1502
Nein, einfach am Anfang der Seite:
1:
2:
3:
4:
5: if(get_mysql_session_ip($_GET['SID']) != $_SERVER['REMOTE_ADDR']){
die("Fehlerhafte SessionID!");
}
Die Funktion get_mysql_session_ip muss dann einfach anhand der Sessionid die IP des benutzers aus der DB lesen.
---
Arbeit ist das Feuer der Gestaltung. - Marx
 Profil
E-Mail
Website
Editieren
Zitieren
Thomas Mausbach Foren-Team
Beiträge: 10
Das mit dem versteckten feld:
ne form mit action="POST" auf jeder seite einfügen und mit:
ein feld einfügen
dann haste die SID in ner POST var, ohne das man das feld sieht.
 Profil
Editieren
Zitieren
Philipp Gérard Foren-Team
Beiträge: 1502
Aber das Post-Formular muss erst übermittelt werden, bevor man $_POST['SID'] überall aufrufen kann. Und das macht man für gewöhnlich nicht mit jedem Link ...
---
Arbeit ist das Feuer der Gestaltung. - Marx
 Profil
E-Mail
Website
Editieren
Zitieren
schmchris Mausakrobat Threadstarter
Beiträge: 159
Ich habe es nun wie folgt gelöst :
1.) IP in die Session Speichern
2.) Stimmt Client-IP nicht mit der IP in der Session erfolgt ein logout.
Nur zur Info
 Profil
Editieren
Zitieren
NetDrag Foren-Team
Beiträge: 442
Wirklich verlassen kannst du dich aber nicht drauf daß die IP richtig ist. Manche Provider vergeben dauernd neue IP's auch während ein user verbunden ist.
---
We are born wet, naked and hungry, then things got worse!
 Profil
Website
Editieren
Zitieren
schmchris Mausakrobat Threadstarter
Beiträge: 159
Welche Provider machen denn sowas ?
 Profil
Editieren
Zitieren
Philipp Gérard Foren-Team
Beiträge: 1502
aol z.b., da kann jede anfrage von einer anderen ip kommen...hässlich sowas. Aber wie soll man es sonst kontrollieren? cookies sind die letzte möglichkeit.
---
Arbeit ist das Feuer der Gestaltung. - Marx
 Profil
E-Mail
Website
Editieren
Zitieren
NetDrag Foren-Team
Beiträge: 442
das is ein schweres Thema. Generell gibts keine sichere Möglichkeit die immer funktioniert.
Ne kombination von cookies oder wenn die nciht funktionieren, dann im quelltext verstecken müßte schon ganz gut gehen.
Allerdings is das auch net so super.
Warum willst denn das eigentlich verstecken? Wegen dem einen oder anderen Bild ist doch net so schlimm oder?
---
We are born wet, naked and hungry, then things got worse!
 Profil
Website
Editieren
Zitieren
Philipp Gérard Foren-Team
Beiträge: 1502
aoluser gehören eh ausgesperrt
*aufeinelangediskussioneinstell*
---
Arbeit ist das Feuer der Gestaltung. - Marx
 Profil
E-Mail
Website
Editieren
Zitieren
schmchris Mausakrobat Threadstarter
Beiträge: 159
Verstecken aus dem Grund, weil dann der User der den Link mit der Session ID bekommt automatisch als der Uaer eingeloggt ist der ihn versendet hat.
Am Browser kann man es ja leider auch nicht festmachen.
Naja die Leute sind selbst schuld, wenn sie links mit session ID kopieren.
 Profil
Editieren
Zitieren
NetDrag Foren-Team
Beiträge: 442
Naja, wichtig scheint mir das zu sein wenn jemand was anderes macht als bilder anzusehen.
setz doch einfach wenn sich die ip ändert den user auf untrusted, d.h. er bleit zwar eingeloggt und kann sich bilder ansehen, aber wenn er versucht passwort oder sonst etwas zu ändern muß er in dem formular extra noch mal das alte passwort angeben.
---
We are born wet, naked and hungry, then things got worse!
 Profil
Website
Editieren
Zitieren
schmchris Mausakrobat Threadstarter
Beiträge: 159
Der User kann auch kommentare abgeben und privatnachrichten schreiben.
Da jedesmal das Passwort abzufragen wäre unvorteilhaft.
 Profil
Editieren
Zitieren