Sie befinden sich hier im Forenarchiv von phpforum.de wenn Sie direkt ins Forum möchten, klicken Sie bitte hier. Zur Startseite kommen Sie hier.

Session - zu unsicher?

Hi,

ich programmiere zur Zeit ein komplexes Verwaltungsscript, bei welchem auch die Sicherheit eine große Rolle spielt, da sehr vertrauliche Daten verwaltet werden. Nun stellt sich natürlich der Sicherheitsaspekt in den Vordergrund. Die Übertragung der Daten geschieht per SSL, was das ganze ja schon mal einen Schritt sicherer macht.
Am Anfang des Scripts logt man sich meiner seinem Namen und Passwort ein. Wenn man sich eingelogt hat wird der rest mit ganz normalen sessions gehandhabt, also am anfang wird session_start() aufgerufen und der rest wird über das superglobale array $_SESSION gemacht, d.h. es wird keinerlei session_id per GET übertragen und auch - was die sessions angeht - nicht mit einer datenbank gearbeitet.
Nun meine Frage: Birgt dieses Vorgehen Sicherheitsrisiken? Wäre es besser, die Sessions anders zu handhaben oder ist das schon sicher genug?

Danke, MfG

Hier gehts zum Orginal Eintrag "Session - zu unsicher?" im Forum

Antworten

Zitat:
also am anfang wird session_start() aufgerufen und der rest wird über das superglobale array $_SESSION gemacht, d.h. es wird keinerlei session_id per GET übertragen
Und wo steht das ? Das hängt einzig und allein von deiner Konfiguration ab, wenn du session.use_transid auf On hast, dann wird die SESSID per URL übergeben.

Zitat:
Nun meine Frage: Birgt dieses Vorgehen Sicherheitsrisiken? Wäre es besser, die Sessions anders zu handhaben oder ist das schon sicher genug?
Und wie stellst du dir das vor ? HTTP ist nunmal ein zustandsloses Protokoll, und neben Cookie's bzw. der URL gibt es (leider) keine andere Möglichkeit die SESSID zu übermitteln.

Außerdem verschiebe ich das auch mal, wurde zum einen oft besprochen, und zum anderen ist das alles recht gut dokumentiert.


Hier gehts zum Orginal Eintrag "Session - zu unsicher?" im Forum
 
phpforum.de | Impressum | Handy Bundles