Tobias2: Sessions und Sicherheit

Beitrag lesen

SELF-Forum

Sessions und Sicherheit

Tobias2
Informationen zu den Bewertungsregeln

Hallo liebe Helfer,

ich habe mal ein paar Anfängerfragen, die mir zum Thema Sicherheit durch den Kopf gehen. Vielleicht bin ich auch auf dem Holzweg, aber hier erst mal, um was es geht.

1. Ist es möglich, von einem fremden Server aus PHP-Skripte (z. B. Konfigurationsdateien, in denen die Zugangsdaten für die Datenbank stehen) mit fopen auszulesen und den Quellcode anzuzeigen? Wenn das möglich ist, wie läßt sich das verhindern?
2. Wie verhält es sich, wenn von einem Rechner zwei Logins mit unterschiedlichen Benutzerangaben stattfinden (unterschiedliche Personen)? Muß vor session_start() mit session_name() eine Name gesetzt werden, damit unterschiedliche Cookies gesetzt werden? Wenn diese Vorgehensweise richtig ist, kann dann ein zweiter Benutzer desselben Rechners trotzdem irgendwie in die Session des ersten Benutzer reinkommen? Wie kann das Skript nach dem Einloggen unterscheiden, auf welchen Cookie es zugreifen soll? Muß es in einer Session-Variable eine Kennung für den Nutzer mitspeichern, um danach den richtigen Nutzer zu erkennen? Wenn im Cookie dauerhaftes Eingeloggt-bleiben vermerkt wurde, wie sieht es dann aus? Ein praktisch denkbarer Fall: In einer WG benutzen verschiedene Personen denselben E-Mail-Provider oder Ebay und lassen den Einlogstatus vom Browser speichern (keine Ahnung, ob E-Mail-Provider wirklich Cookies setzen, nur mal hypothetisch angenommen. Ebay setzt jedenfalls Cookies zum Status, den Inhalt weiß ich nicht).
3. Keine Frage zur Sicherheit, sondern zum Umgang mit Session-Cookies: Angenommen, Cookies sind abgeschaltet. Der User schickt das Einlogg-Formular ab. Das Skript prüft, ob ein Cookie gesetzt wurde. Wenn ja, findet die Überprüfung der Zugangsdaten statt. Wenn nein, wird der User auf die fehlende Cookie-Unterstützung hingewiesen und das Formular erneut ausgegeben. Der User schaltet Cookies ein und sendet das Formular ab. Nun wurde aber kein Cookie gesetzt (wenn der User das Formular nicht selbst nach Cookie-Einschaltung aktualisiert hat). Die Folge ist: Das Skript bemängelt wieder nicht eingeschaltete Cookies. Kann man das umgehen?

Liebe Grüße
Tobi

Beitrag melden
Informationen zu den Bewertungsregeln
0 29

Sessions und Sicherheit

Tobias2
  • php
  1. 0
    King^Lully
    1. 0
      Tobi2
  2. 0
    stareagle
    1. 0
      Tobi2
      1. 0
        stareagle
        1. 0
          Tobi
  3. 0
    Rato Micefarmer
    1. 0
      Tobi
      1. 0
        Tom
        1. 0
          Tobi
          1. 0
            Rato Micefarmer
            1. 0
              Tobi
            2. 0
              Harlequin
        2. 0
          Bla
    2. 0
      Sven Rautenberg
      1. 0
        Tobi
  4. 0
    Bla
    1. 0
      Tobi2
      1. 0
        Bla
        1. 0
          Tobi
          1. 0
            Bla
            1. 0
              Tobi
              1. 0
                Bla
                1. 0
                  Tobi
                  1. 0
                    Bla
                    1. 0
                      Tobi
                      1. 0
                        Bla
                        1. 0
                          Tobi