Hi Christian,

Mit session_regenerate_id (natürlich mit $delete_old_session auf true gesetzt).

Würde es genügen, wenn ich nach dem Login session-regenerate-id einmalig starte und im späteren Scriptverlauf wieder deaktiviere? dauerhaft nutzen möchte ich es nicht wirklich.

Die oben erwähnte Funktion erzeugt eine neue Session-ID, so dass ein potentieller Angreifer nicht dieselbe Session-ID verwenden kann, mit der er den User zum Login-Form geschickt hat (Stichwort Session Fixation). Die alte Session-ID ist dann schlicht und ergreifend nicht länger mit der Session des Users verknüpft.

Nach dreimaligem lesen habe ich es verstanden, klingt Logisch.

Machen Hacker das so? Also das sie die User zu meinem Formular schicken?

Achso, Hacker rufen die Seite auf, generieren so eine Session-ID, und schicken dann den User mit dieser Session auf meine Seite. Und wenn der User sich dann mit dieser Session anmeldet, ist der Hacker automatisch auch eingeloggt? Können wir auf meiner Seite probieren, ob das geht? Du kannst dich mit einzelnen Buchstaben registrieren und sofort einloggen. Auf der Seite stehen auch alle benötigten Daten, bspw. was in der Session und was in den Cookies gespeichert ist. Können wir mich hacken?

Bis bald