Christian Seiler: Login Klasse/Meinung/Verbesserungsvorschläge

Beitrag lesen

SELF-Forum

Login Klasse/Meinung/Verbesserungsvorschläge

Christian Seiler Homepage des Autors
+2 Informationen zu den Bewertungsregeln

Hi,

ergänzend zu dem, was bereits gesagt wurde: Du solltest bei jedem erfolgreichen Login-Vorgang selbst per session_regenerate_id() aufrufen, um Session-Fixation-Angriffe zu verhindern. Es ist bereits etwas Code vorhanden, der bestimmte Angriffsvektoren ausschließt - aber eben nicht alle.

Faustregel: Jedes mal, wenn sich in einer Session die Privilegien erhöhen (Nicht eingloggt -> eingeloggt z.B.), sollte eine neue Session-ID erzeugt werden (session_regenerate_id), um Session-Fixation-Angriffe zu verhindern.

Viele Grüße,
Christian

--
Mein "Weblog" [RSS]
Using XSLT to create JSON output (Saxon-B 9.0 for Java)
How to tell the difference between a science fan and a scientist.
Beitrag melden
+2
Informationen zu den Bewertungsregeln
0 19

Login Klasse/Meinung/Verbesserungsvorschläge

Naps
  • php
  1. 2
    Sven Rautenberg
    1. 0
      Tom
      1. 0
        Naps
        1. 0
          Tom
      2. 0
        Naps
      3. 0
        Sven Rautenberg
        1. 0
          dedlfix
          1. 0
            Tom
    2. 0
      Naps
      1. 0
        Tom
        1. 0
          Naps
      2. 0
        Sven Rautenberg
  2. 2
    Christian Seiler
    1. 0
      Naps
      1. 0
        Christian Seiler
        1. 0
          Naps
  3. 0
    Naps
    1. 0
      Sven Rautenberg