Sabine: PHPSESSID

SELF-Forum

PHPSESSID

Sabine
Informationen zu den Bewertungsregeln

Hallo!

Kann mir jemand von euch aus eigener - hoffentlich nicht leidvoller - Erfahrung sagen, wie sicher die PHPSESSID, die automatisch vergeben wird, ist?

Es geht um einen Warenkorb, der Shop soll sowohl mit als auch ohne Cookies funktionieren. Wenn Cookies deaktiviert sind, lasse ich nun die SID automatisch an den URL dranhängen.

Vermeiden will ich natürlich, dass jemand nun einen anderen Warenkorb ausspähen kann - 100% Schutz gibt es da nicht, ist klar. Wie sicher aber kann ich hier die PHPSESSID einschätzen? Ist es Ok diese zu verwenden oder besser auf eine selbst generierte ID mit verschlüsseltem Timestamp, User-Agent etc. auszuweichen?

Danke im Voraus und schöne Grüße
Sabine

Beitrag melden
Informationen zu den Bewertungsregeln

  1. PHPSESSID

    Michael Keller
    Informationen zu den Bewertungsregeln

    Hallo

    Die Session-ID dürfte sicher genug sein.

    <zitat>
    Die Session-ID selbst ist für einen Webserver übrigens immer eindeutig. Auch wenn viele Benutzer gleichzeitig eine neue Session starten, wird durch einen ausgeklügelten Algorithmus sichergestellt, dass nicht zweimal die gleiche Session-ID erzeugt wird: Zum einen wird die aktuelle Uhrzeit in Mikrosekunden zur Ermittlung der ID verwendet. Sollten tatsächlich einmal zwei Anwender zur exakt gleichen Zeit eine Session-ID anfordern, so unterscheidet sich diese zum anderen immer noch in einer Zufallszahl, die aus der Thread-ID oder Prozess-ID des PHP-Interpreters ermittelt wird.
    </zitat>

    Hatte bisher noch nie Probleme (betreibe aber auch keine Seite mit mehreren Usern pro Millisekunde :)

    Gruss Michael

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. PHPSESSID

      Sabine
      Informationen zu den Bewertungsregeln

      Hallo Michael!

      Die Session-ID dürfte sicher genug sein.

      <zitat>
      Die Session-ID selbst ist für einen Webserver übrigens immer eindeutig. Auch wenn viele Benutzer gleichzeitig eine neue Session starten, wird durch einen ausgeklügelten Algorithmus sichergestellt, dass nicht zweimal die gleiche Session-ID erzeugt wird: Zum einen wird die aktuelle Uhrzeit in Mikrosekunden zur Ermittlung der ID verwendet. Sollten tatsächlich einmal zwei Anwender zur exakt gleichen Zeit eine Session-ID anfordern, so unterscheidet sich diese zum anderen immer noch in einer Zufallszahl, die aus der Thread-ID oder Prozess-ID des PHP-Interpreters ermittelt wird.
      </zitat>

      Das klingt beruhigend - danke für die Info!!

      Hatte bisher noch nie Probleme (betreibe aber auch keine Seite mit mehreren Usern pro Millisekunde :)

      Das wird auch bei mir nicht der Fall sein :)

      Grüße
      Sabine

      Gruss Michael

      Beitrag melden
      Informationen zu den Bewertungsregeln