kostenloser Webspace werbefrei: lima-city


Session

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    bilo

    bilo hat kostenlosen Webspace.

    Hallo leute,

    sagt mal ist es möglich von eine andere page session zu übernehmen?
    es gibt ja diese $_Server befehle dachte damit kann man vllt sessionid oder nr wie auch nimmer holen. Ist das möglich? ^^
    Würd ma sowas testen Oo

    2. Frage
    Ist das illegal? Weil wenn das geht könnte man ja mit deren accounteinloggen oder?

    Beitrag geaendert: 28.5.2007 21:22:38 von bilo
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hi,

    klar ist es möglich. Der Server weiß ja nicht wirklich wer auf die Session zugreift (zumindest nicht standardmäßig).
    D.h. im Normalfall kann jeder beliebige Client die Session nutzen, wenn er die Session-ID weiß.
    Vom Server aus kann man zwar dafür Vorkehrungen treffen indem man zum Bsp. die IP des Clients in der Session mit abspeichert, aber auch das ist nicht das Allheilmittel.

    Zur zweiten Frage... nunja im Normalfall kannst du diesen 32 Zeichen langen String ja nicht erraten... also muß der User ihn dir gegeben haben, was das ganze legalisiert ;-)
    Ähm was meinst du mit Session und Login? Wenn du die Session ID hast, heißt das ja nicht unbedingt, dass du eingeloggt bist, vorausgesetzt weitere Schutzmaßnahmen sind getroffen.

    Grüßle


    Grüßle

    Beitrag geaendert: 28.5.2007 23:36:52 von scout
  4. Auf http://tut.php-q.net/ gibts ein geniales tutorial. Da kannst du auch lernen wie man ein loginsystem baut ;)

    Beitrag geaendert: 29.5.2007 14:11:21 von infanteria
  5. Hallo,

    das ist nicht möglich, wäre ja auch viel zu unsicher (wie du ja selbst erkannt hast). Die Sessions merkt sich der Browser solange das Fenster offen ist. Jeder Session ist eine Adresse zugeteilt (z. B. www.lima-city.de). Der Browser sendet die Daten dieser Session dann immer nur an die Webseite, wenn genau diese Adresse angezeigt wird (im Beispiel würden die Daten nur an lima-city.de gesendet werden).

    Eine Session kann übrigens beliebige Zeichen haben und muss nicht aus einem 32-zeichen hex-string bestehen.

    Deine einzige "Hoffnung" wäre es, einen Browserbug zu benutzen, aber das ist sehr unwahrscheinlich.

    ps3web
  6. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!