nicht angemeldet
Sessionbasiertes Loginsystem
Hallo Forum,
ich habe eine Frage zum Thema: Sessionbasiertes Loginsystem.
Dabei bin ich auf folgendes Script gestossen:
http://aktuell.de.selfhtml.org/artikel/php/loginsystem/index.htm
Ich möchte verhindern, dass wenn sich jemand abmeldet, über den Browserbutton "zurück", in den Sicherheitbereich kommt.
Folgendes habe ich festgestellt:
Beim MS IE 6 & Firefox 2.0.11 funktioniert es,
beim Opera 9.22 & MS IE 7 leider nicht.
Was muss ich am Script ändern, damit IE7 und Opera nicht nach der Abmeldung in den Sicherheitsbereich zurückspringen wenn man am Browser "zurück" klickt?
cu
-
echo $begrüßung;
http://aktuell.de.selfhtml.org/artikel/php/loginsystem/index.htm
Ich möchte verhindern, dass wenn sich jemand abmeldet, über den Browserbutton "zurück", in den Sicherheitbereich kommt.
Beim MS IE 6 & Firefox 2.0.11 funktioniert es,
beim Opera 9.22 & MS IE 7 leider nicht.Definiere bitte "funktioniert nicht". Aus der Sicht des Servers ist ein Ausliefern der Seite nur möglich, wenn in der Session der Zustand "angemeldet" verzeichnet ist. Alles was der Client aus seinem Cache oder seiner History holt, ist nicht vom Server beeinflussbar. Es sei denn, du machst nur ein Grundgerüst einer Seite ohne nennenswerten Inhalt und holst diesen über AJAX. Den merkt sich der Browser normalerweise nicht. Nachteilig für den Benutzer ist, dass er so in seiner üblichen Bewegungsfreiheit eingeschränkt wird, wenn man keine Maßnahmen dagegen unternimmt. Doch die möchtest du ja nicht, weil dann ja wieder was in der History landet.
echo "$verabschiedung $name";
-
Hi,
ich möchte verhindern, dass jemand die geschützten Seiten anschaut, wenn man sich ordendlich abgemeldet hat. Kann man das Überhaupt 100%ig verhindern?
cu
Mi-
Moin!
ich möchte verhindern, dass jemand die geschützten Seiten anschaut, wenn man sich ordendlich abgemeldet hat. Kann man das Überhaupt 100%ig verhindern?
Browserfenster schließen hilft. Sollte man bei allem machen, was für den Benutzer sicherheitsrelevant ist - u.A. auch Onlinebanking.
- Sven Rautenberg
--
"Love your nation - respect the others." -
Hallo,
Hi,
ich möchte verhindern, dass jemand die geschützten Seiten anschaut, wenn man sich ordendlich abgemeldet hat.
Wann soll man das denn deiner Meinung nach können?
Nach Ablauf einer Session geht das natürlich nicht - zumindest können die Daten nicht mehr erneut vom Server abgerufen werden, da der Browser ja nicht mehr authentifiziert ist. Was je nach Browser und Konfiguration möglich ist, ist das Zurückspringen in der History - nicht alle Browser führen beim Zurück-Navigieren eine erneute Anfrage aus (ist i.d.R. auch nicht sinnvoll).Wie gesagt, wenn sich der Benutzer davor schützen will, muss er mindestens das Browserfenster schließen.
Du kannst mal ausprobieren, ob du zumindest einige Browser dazu bringen kannst, auf jeden Fall die Anfrage zu wiederholen. Zum Beispiel, indem du das Caching verhinderst durch Meta-Angaben:
http://de.selfhtml.org/html/kopfdaten/meta.htm#laden
http://de.selfhtml.org/html/kopfdaten/meta.htm#diverse
(Ist nur eine Idee - habe ich selbst noch nicht ausprobiert.)Kann man das Überhaupt 100%ig verhindern?
Nein, das unterliegt gar nicht vollständig deiner Kontrolle.
Mathias
-
-