nicht angemeldet
Hi,
Wie schwierig ist es für einen potentiellen Angreifer Session-Variablen auszulesen?
extrem leicht - vorausgesetzt Du stellst die Werte zur Verfügung. Andernfalls ist es tendenziell unmöglich.
Aber was ist mit den zu einer Session-ID gehörigen Variablen? Werden die vom Server verwaltet oder liegen die auch auf dem Client?
Nur auf dem Server.
Darf man sensible Daten, wie die Verbindung zu einer Datenbank in Session-Variablen speichern?
Ich bin nicht sicher, ob ich überhaupt eine Datenbankverbindung speichern würde, außer natürlich in einem Datenbankverbindungsspeicherungssystem. Das hat dann aber mit (diesen) Sessions nichts zu tun.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes