Funktion von Sessions
lima-city → Forum → Die eigene Homepage → Homepage Allgemein
art
auslese
bedenken
besucher
datum
dokument
erinnerung
gedanke
header
identifizieren
information
kombination
leitung
login
prinzip
server
session
sicherheit
sorgen
verbindung
-
Hallo,
irgendwie verstehe ich nicht so ganz wie Sessions funktionieren. Ich habe mal ein bisschen gegoogelt und auch ein wenig gefunden. Aber ich habe es nicht so zu 100% verstanden.
Muss ich mir das so vorstellen, dass im http-header die Informationen, die in der Session gespeichert sind, übergeben werden?? Ist das dann wie bei einem Cookie??
Diese Daten kann man doch auslesen, wenn man die Leitung besnifft oder?? Und dadran könnte auch ssl nichts ändern, denn nur der Client kann doch dem Server etwas verschlüsseltes senden. Aber ssl wird immer als Lösung für die Sicherheitslücken von Sessions genannt.
Ich will das wissen, damit ich die Sicherheit von Sessions für mich bewerten kann. Aber ich versteh das System nicht, hiiiiiiiiilfeeeee!!!
Beitrag geändert: 5.11.2008 20:20:12 von rms -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
NEIN, Sessions sind keine Cookies! Der große unterschied: Sessions liegen aufm Server, Cookies aufm Rechner.
Und du solltest dir nicht allzuviel Sorgen darum machen, das man die Verbindung irgedwo abfängt. Ich glaub nich, dass du ne Seite machst, für die du wirklich sicher sein musst, dass dies nicht möglich ist. -
Session ist eine Kombination von Server und Client.
Auf dem Server wird eine Erinnerung an den Besucher behalten. Gleichzeitig wird aber auch auf dem Client eine Art Cookie verwendet, um sich zu identifizieren.
Die Daten, die in der Session enthalten sind werden aber soweit ich weiß auf dem Server gespeichert, außer du lässt sie als HTML-dokument mit PHP ausgeben.
Ist auch logisch da eine Session nur von PHP angesprochen wird und diese ist serverseitig.
Damit sind Sessions rein theoretisch so sicher wie der Server.
P.S. Cookies werden über den Browser verwaltet, also denke ich das sie auch verschlüsselt sind.;)
Beitrag geändert: 5.11.2008 20:23:44 von reimann -
ich mache mir weniger gedanken über meine Webseite, vielmehr über eine Möglichkeit eine wirklich sichere Verbindung zu erschaffen. Also mir geht es eher um das Prinzip.
Soweit ich weiß wird aber eine ID oder besser gesagt eine SessionID (SID) übermittelt, die dem Server sagt wer der Client ist und welch Session ihm gehört, und diese kann ich doch abfangen oder?? Und das könnte ich auch wenn ich eine SSL-Verbindung benutze, denn diese ID wird doch zumindest zum Client unverschlüsselt übertragen. Das heißt doch dass der SSL login nichts bringt wenn man Sessions benutzt, oder???
Und wenn ich mir überlege, dass ich Coockies aktivieren muss wenn ich mich bei Googlemail einlogge, dann vermute ich doch mal, dass das dort so ähnlich funktioniert und das gibt mir doch ein wenig zu bedenken.
Auf der anderen Seite glaube ich deshalb auch das ich noch irgenetwas nicht verstanden habe. Deshalb wäre ich echt super happy, wenn mir jmd. das erklären kann, oder mir eine ausführlich (bevorzugt deutsche) erklärung als Link anbietet. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage