Sicherheit von Variablen die in der Session gespeichert sind von wahsaga, 01.10.2003 14:25

Sicherheit von Variablen die in der Session gespeichert sind

danOne 01.10.2003 13:33

Hallo alle zusammen,

ich quäle mich grade mit der Bestellung eines Warenkorbes rum.
Die Bestellung läuft dabei über 4 Formulare in denen der user jeweils angaben zu sich selber und der Bestellung macht (art des kunden, adresse, zahlungsweise, bezahlungsdaten) dafür ist es ja notwendig das ich die daten bereits besuchter formulare mitschleppe um am ende nochmal anzeigen zu können das-und-das hast du bestellt so-und-so heißt du und auf-diese-und-jene-art willst du bezahlen.

Dafür habe ich zunächst alles in die Session gespeichert. Jetzt Frage ich mich aber grade wie das aus dem Sicherheitsaspekt her ist. Sind die Daten in der Session wirklich sicher? Also ich schreibe da nicht die Kreditkartennnumern oder so rein, nur adresse, name etc. Kennt sich da jemand aus? Achso während dieser 4 Formulre läuft das ganze über SSL falls das was ändert.

Eine weitere Frage wäre:
Wenn jemand wärend dieser 4 Formulare auf den zurück button drückt erscheint ja logischer weise die meldung das die seite nicht mehr gültig sei, ein reload bringt sie aber doch wieder hervor, werden dabei eigentlich alle damals(also in der history) an das skript gesendeten daten nochmal verschickt?

schönen Gruß
.dan.One.

Beitrag melden

– Informationen zu den Bewertungsregeln

Sicherheit von Variablen die in der Session gespeichert sind
wahsaga Homepage des Autors 01.10.2003 14:25

php
– Informationen zu den Bewertungsregeln
hi,

Sind die Daten in der Session wirklich sicher?

jein.

die daten werden auf dem server in session-dateien abgelegt, meist in einem temporären verzeichnis.

die zuordnung erfolgt über die session-id, und dort liegt auch die schwachstelle des konzeptes:

wenn du die session-id per URL übergibst, kann jemand, der an diesen URL herankommt ("ich hab da so einen online-shop entdeckt, warte, ich schicke dir mal kurz den link ..."), damit die session übernehmen.

die session-id nur in einem cookie abzulegen schützt zwar dagegen, macht aber auchnicht unangreifbar.

Also ich schreibe da nicht die Kreditkartennnumern oder so rein, nur adresse, name etc.

ich denke nicht, dass für so allgemeine daten, die im regelfall auch im telefonbuch zu finden sind, erhöhten aufwand zur übernahme deiner session betreiben wird.

gruss,
wahsaga
Beitrag melden

–
Informationen zu den Bewertungsregeln
1. Sicherheit von Variablen die in der Session gespeichert sind
  
  danOne 01.10.2003 14:30
  
  php
  – Informationen zu den Bewertungsregeln
  hi,
  danke, das denke ich auch nicht. Die Antwort beruhigt mich :-
  dann werd ich mal weitermachen,
  schönen Tag noch
  .dan.One.
  Beitrag melden
  
  –
  Informationen zu den Bewertungsregeln
  Übersicht
  
  alle Foren
  
  SELFHTML-Forum
  
  anmelden
  
  Benutzerkonto erstellen
  
  Beitrag im Thread-Baum
Sicherheit von Variablen die in der Session gespeichert sind
RFZ 01.10.2003 15:06

php
– Informationen zu den Bewertungsregeln
Wenn jemand wärend dieser 4 Formulare auf den zurück button drückt erscheint ja logischer weise die meldung das die seite nicht mehr gültig sei, ein reload bringt sie aber doch wieder hervor, werden dabei eigentlich alle damals(also in der history) an das skript gesendeten daten nochmal verschickt?

Wenn die Daten via GET übertragen wurdem, Ja, wenn über POST, wird vorher nachgefragt.
Ich beiden fällen solltest aber einfach überprüfen, ob das laden der Site erlaubt sein soll.

.dan.One.

cu RFZ
Beitrag melden

–
Informationen zu den Bewertungsregeln

SELFHTML Forum - Ergänzung zur Dokumentation Übersicht

danOne: Sicherheit von Variablen die in der Session gespeichert sind