nicht angemeldet
Hallo Aqua,
Die erste Session-ID wird im Cookie gespeichert,
die zweite im Query-String.
Die Session-ID sollte sowieso "zufällig" erzeugt werden. Außerdem sollte eine Session nach einer gewissen Zeit ohne aktivität wieder gelöscht werden. D.h. _eine_ Session-ID im Query-String ist meiner Ansicht nach sicher genug (was vorraussetzt, das die Session-ID nicht zu einfach aufgebaut ist).
Weiters werden in der Datenbank die IP-Adresse gespeichert,
sowie Referrer und Browser des Users.
IP-Adresse kann Probleme geben, da mehrere User über eine IP-Adresse mit dem INternet verbunden sein können, oder die IP-Adresse wärend einer Sitzung sich ändern kann (Wenn sich die Internetverbindung z.B. nach einer gewissen Zeit automatisch abwählt)
Weiters kommt SSL zum einsatz.
Dadurch wird nur der Datenverkehr zwischen Browser und Server verschlüsselt. Bietet also nur mehr Sicherheit für die Daten die hin- und her-geschickt werden und nicht für die Sicherheit der Session.
Viele Leute meinten bisher schon,
dass mich das vor "the man in the middle" auch nicht beschützt,
und generell nicht sicher sei.
Ich schliesse mich den "vielen Leuten" an ;)
Meine Fragen
- Was muß ich an meinem Konzept veraendern?
- Ist CGI::Session sicherer als das was ich von Hand mache?
- Muß ich meine Idee Komplett schmeißen oder was geht?
- Wie würdest ihr halbwegst gute Sicherheit herstellen?
Ich würde die 2. Session-ID in den Cookies weglassen. Die Session-ID für den Query-String sollte einen komplexen Aufbau aus Zahlen und Buchstaben haben und mindestens 10-stellig sein.
Eine Session-ID solltest Du nach einer gewissen Zeit ohne aktivitäten löschen, so das deine Datenbank nicht voll ist von benutzbaren Session-IDs.
Gruß
Helmut Weber
-------------------------------------------
Mode ist eine Variable, Stil eine Konstante