Hallo Korbinian!

also wenn du glaubst das session=30898d8a6ffe9597b9fc355be853f3f8 einfach so gefaked werden kann bzw ein andrer das ja erraten könnte dann spiel lotto - solltest du 12 mal hintereinander den 6er mit zusatzzahl haben dann hättest du es geschafft ! - tja so groß is die mathematische wahrscheinlichkeit...

Ich weiß, dass die SessionID nicht wirklich einfach zu "erraten" ist. Meine Idee mit dem Timestamp kam eigentlich daher, da schon des öfteren im Forum darüber im Zusammenhang mit dem Ausspionieren eines fremden Warenkorbinhalts diskutiert wurde. Daher dann auch die Idee den Timestamp bei jedem Link zu ändern - denn hier wird die Wahrscheinlichkeit wohl schon sehr, sehr gering, dass von einem Link zum nächsten sich jemand zwischenschalten kann.

mal ernsthaft - sicherheit ja: aber nur um den warenkorbinhalt ? - es werden keine personenbezogenen daten etc. damit eingeschweißt--- also ich halte es für sehr sicher, zumal du den string der auf
md5(rand()) basiert ja auch noch verschärfen könntest wie zb. md5(rand()*$IP*$anfangstime...)

Ja, ist klar. Allerdings ist halt bei mir im Hinterkopf, dass ich sehr verärgert wäre, wenn ich meinen Warenkorb bestücke und auf einmal ist etwas im Warenkorb was ich nicht reingelegt habe - ich würde nichts bestellen auf der Website.

also wenn das immernoch zu unsicher ist dann nimm den PC/ server und klemm ihn vom netz ab, denn die meisten sicherheitslöcher sind viel simpler und haben reelle auswirkungen...

Das wäre eine gute Idee, aber wie schütze ich mich dann vor mir selbst? ;-)

Ich würde mich wirklich freuen über noch ein paar Meinungen zu diesem Thema - ist es sicher genug nur die SessionID zu verwenden oder sollte man zusätzlich vorsorgen?
Wenn ja wie?
a) einfach ein Timestamp dazu den ich auch mitschleppe
b) einen sich ändernden Timestamp (so wie von mir anfangs geplant?)
c) ????

Liebe Grüße
Sabine

mfg

Korbinian Bachl
www.whiskyworld.de