nicht angemeldet
können session_variablen von außen ausgelesen werden
AugeHi,
das Thema sagt eigtl schon alles:
Kann man von außen die inhalte einer Session variable auslesen?
Es wird doch bloß die session id als Cookie oder get-parameter übergeben die inhalte doh cniht oder?
griesle
-
das Thema sagt eigtl schon alles:
Kann man von außen die inhalte einer Session variable auslesen?
Es wird doch bloß die session id als Cookie oder get-parameter übergeben die inhalte doh cniht oder?
Was meinst Du mit "auslesen"?
Wenn Du per get arbeitest und der User auf einen Link klickt, sehe ich die Session-Variable in meinen Server-Logs, wenn er durch den Link auf meine Seite kommt.
Also: ja!
Wenn man Glück hat, ist die Session abgelaufen, bis ich das sehe.
Wenn man schlau ist, bindet man an die Session-Id noch die IP die Users, so daß ich mit der Information nichts anfangen kann.
An den Cookie komme ich dagegen nicht dran.War das die Frage?
Gruß
Reiner-
hi,
Kann man von außen die inhalte einer Session variable auslesen?
Was meinst Du mit "auslesen"?
Na ja, was wohl - an in der Session abgelegte Werte gelangen.
Wenn Du per get arbeitest und der User auf einen Link klickt, sehe ich die Session-Variable in meinen Server-Logs, wenn er durch den Link auf meine Seite kommt.
Nein, du siehst keine Session-Variablen - du siehst ggf. die Session-ID.
Wenn man schlau ist, bindet man an die Session-Id noch die IP die Users, so daß ich mit der Information nichts anfangen kann.
Wenn man schlau ist, lässt man das lieber - weil sonst der Nutzer selber die Seite vielleicht nicht mehr nutzen kann. IP-Adressen können wechseln, auch zwischen den einzelnen Requests eines "Besuchs" - Stichwort bspw. AOL-Proxies.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Wenn man schlau ist, lässt man das lieber - weil sonst der Nutzer selber die Seite vielleicht nicht mehr nutzen kann. IP-Adressen können wechseln, auch zwischen den einzelnen Requests eines "Besuchs" - Stichwort bspw. AOL-Proxies.
kommt auf den Anwendungsfall an. In vielen Fällen wäre mir das egal!
Wenn ich dadurch die Sicherheit erhöhe...
Alternativ: SSL, aber u.U. zu überdimensioniert.Gruß Reiner
-
Hello,
kommt auf den Anwendungsfall an. In vielen Fällen wäre mir das egal!
Wenn ich dadurch die Sicherheit erhöhe...bitte was? Das heißt also, ich kann deinen Onlineshop als AOL-Nutzer nicht verwenden, weil du meine Kreditkartendaten in der Session schützen willst?
MfG
Rouven--
-------------------
Unser Problem ist, dass wir eine Demokratie entwickelt haben, was nicht immer der richtige Weg ist -- Bernie Ecclestone zu den lästigen Diskussionen um Regeländerungen in der Formel 1-
Hello,
kommt auf den Anwendungsfall an. In vielen Fällen wäre mir das egal!
Wenn ich dadurch die Sicherheit erhöhe...
bitte was? Das heißt also, ich kann deinen Onlineshop als AOL-Nutzer nicht verwenden, weil du meine Kreditkartendaten in der Session schützen willst?Wieso das denn? In dem Fall würde ich wohl generell auf SSL setzen!
-
-
Hallo
Wenn man schlau ist, lässt man das lieber - weil sonst der Nutzer selber die Seite vielleicht nicht mehr nutzen kann. IP-Adressen können wechseln, auch zwischen den einzelnen Requests eines "Besuchs" - Stichwort bspw. AOL-Proxies.
kommt auf den Anwendungsfall an. In vielen Fällen wäre mir das egal!
Wenn ich dadurch die Sicherheit erhöhe...Wenn du damit auf einen, nicht unbeträchtlichen, Haufen potentieller Kunden verzichten kannst/willst, bitte.
Tschö, Auge
--
Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
(Victor Hugo)
Veranstaltungsdatenbank Vdb 0.1-
kommt auf den Anwendungsfall an. In vielen Fällen wäre mir das egal!
Wenn ich dadurch die Sicherheit erhöhe...Wenn du damit auf einen, nicht unbeträchtlichen, Haufen potentieller Kunden verzichten kannst/willst, bitte.
Ich hatte bisher keinerlei Beschwerden, daß jemand dauernd rausfliegt!
Viele Grüße,
Reiner-
Hallo
kommt auf den Anwendungsfall an. In vielen Fällen wäre mir das egal!
Wenn ich dadurch die Sicherheit erhöhe...Wenn du damit auf einen, nicht unbeträchtlichen, Haufen potentieller Kunden verzichten kannst/willst, bitte.
Ich hatte bisher keinerlei Beschwerden, daß jemand dauernd rausfliegt!
Tja, Glück gehabt, der Herr Pankower. ;-)
Oder es hat schlichtweg niemand für nötig befunden, sich zu beschweren. Dieser (dein) Dienst ist ja schließlich nicht der weltweit Einzige.
Tschö, Auge
--
Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
(Victor Hugo)
Veranstaltungsdatenbank Vdb 0.1-
Oder es hat schlichtweg niemand für nötig befunden, sich zu beschweren. Dieser (dein) Dienst ist ja schließlich nicht der weltweit Einzige.
Stimmt, aber der Beste! :-)
Im ernst: Es gibt rel. wenig Leute, die -zumind. in Deutschland- AOL nutzen. Die Masse nutzt T-Com (wie Du), Arcor, Freenet, Alice, u.ä. und die machen keine Zicken.
Aber wenn es Dich beruhigt, habe ich jetzt die Bindung auf IP gelöst und dafür das Timeout runtergesetzt.Gruß
Reiner-
Hallo
Im ernst: Es gibt rel. wenig Leute, die -zumind. in Deutschland- AOL nutzen. Die Masse nutzt T-Com (wie Du), Arcor, Freenet, Alice, u.ä. und die machen keine Zicken.
Täusch dich mal nicht und täusch dich mal nicht.
Aber wenn es Dich beruhigt, habe ich jetzt die Bindung auf IP gelöst und dafür das Timeout runtergesetzt.
Ich bin grundsätzlich beruhigt, zumindest, was deine Behandlung deiner Sessions angeht. :-)
[1] Sowohl, was die Nutzerzahlen von AOL Deutschland angeht, als auch meinen Internetzugang.
Tschö, Auge
--
Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
(Victor Hugo)
Veranstaltungsdatenbank Vdb 0.1
-
-
-
-
-
-
-
-
Moin!
Kann man von außen die inhalte einer Session variable auslesen?
Was verstehst du unter "außen"?
Es wird doch bloß die session id als Cookie oder get-parameter übergeben die inhalte doh cniht oder?
Das ist korrekt. Insofern: Wenn "außen" den Zugriff per HTTP meint, dann ist das in der Tat nicht möglich.
Wenn "außen" allerdings irgendeinen anderen virtuellen Host auf dem Shared Server meint, dann hängt es stark davon ab, wie dieser konfiguriert ist. Es wäre nicht das erste Mal, dass alle VHost-Instanzen sich ein gemeinsames PHP-Temp-Verzeichnis teilen, und somit jeder VHost Zugriff auf ALLE derzeitigen Sessiondateien hätte.
- Sven Rautenberg
--
"Love your nation - respect the others."