Warum Sessions in Cookies sicherer sind als in Url's (ThWboard Support-Forum (Archiv))

Ort: / Boardübersicht / Archiv / Warum Sessions in Cookies sicherer sind als in Url's

Luki schrieb am 16.04.2004 um 11:45 Uhr

Sessions in Urls waren eigentlich nur die Workaround Lösung wegen dem ...logout.php Bug ... die allerdings nicht wirkt, da der Logout Bug theoretisch immer noch funktioniert:

da ich ja immer noch ein PHP Bild auf meinem anderen Webspace verlinken kann, was aus dem Referrer die SID exthrahiert und dann das ganze per header redirect wie folgt weiterleitet:
header (http://forum.de/logout.php?s=$die_aus_dem_referrer_exthrahierte...

^^ diese Problem ist dem vB z.B. schon seit langem bekannt und noch kein Boardsystem hat es bisher elegant lösen können! ... ich würde diesen Bug auch nicht als kritisch einstufen!

spricht auf jeden Fall dafür, das man die SID im (if cookies allowed) Cookie transportieren sollte:
- da es besser aussieht
- sehr viel weniger Traffic, da nicht hinter jedem Link eine SID muss!
- Urls nicht so oft in fremden Foren mit einer SID gepostet werden...
-es generell einfach sicherer ist, wenn die SID (temp. Zugangsdaten) möglichst unsichtbar sind ... man beachte z.B. das Freemailer wie GMX einen Dereferrer bei Links einbauen, damit die SID bei Links nicht mit raus geht, da man mit etwas Geschick und eventuell auch noch einer ähnlichen IP viel Unfug damit machen kann!

also ich finde wir sollte wie bei allen Boardsystemen die SID soweit möglich im Cookie und nur wenn Cookies nicht erlaubt sind in der URL transportieren!

MrNase schrieb am 16.04.2004 um 12:26 Uhr

Ich würde es nichtmal als Bug einstufen sondern eher als 'flagged for future versions' :)

theDon schrieb am 16.04.2004 um 13:23 Uhr

nen bug ist es definitiv nicht.

Luki schrieb am 16.04.2004 um 15:43 Uhr

...logout.php Bug

^^

aber ich denke es ist nur eine kleine Abfrage ob Cookie und man spart einiges ;)

mich würde es auf jeden Fall freuen, weil es einfach sauberer aussieht!

Bluetooth schrieb am 22.04.2004 um 18:54 Uhr

Die einzige sinnvolle Lösung, die aber sehr rechenintensiv ist, wäre, bei jedem Bildabruf durch einen ThWb-Code das Bild auf Vorhandensein eines Bildheaders bzw. Bildgröße zu untersuchen. Das verursacht aber nicht nur mehr Berechnungsoverhead, sondern auch Trafficoverhead auf dem Server, auf dem das ThWb läuft. Bilder könnte man dann cachen und dem User vom eigenen Server zu Verfügung stellen. Halte ich aber imho für sinnlos.

Luki schrieb am 22.04.2004 um 19:59 Uhr

naja das Bugfixing bei dem Logout Problem ist doch recht simpel:

man hängt die Userid beim logout.php?uid=1101 noch mit dran und falls die dem user der sich ausloggen möchte entspricht klappts :)

damit funktioniert der ganze redirect kram nicht mehr - da man ja die Userid nirgens auslesen kann! :)

also ab mit den Sessions in die Cookies!