Gefahr beim Übertragen der Session-ID über die URL

In der Regel wird die Session-ID in einem Cookie auf dem Rechner des Besuchers gespeichert. Wenn aber der Benutzer Cookies deaktiviert hat wird bei den meisten PHP-Konfigurationen die Session-ID über die URL übertragen.

Das ist soweit noch kein Problem. Wenn jetzt aber Besucher A die URL aus seinem Browser kopiert und an andere weitergibt haben sie dieselbe Session. Sie sind also mit dem Account von Benutzer A eingelogged.

Noch unkontrollierter tritt das Problem mit Suchmaschienen auf, da diese keine Cookies akzeptieren und somit erscheint die Session-ID in den Suchergebnissen. Kommen nun Besucher über diesen Link auf die Webseite haben sie ebenfalls die selbe Session-ID.

Mittels .htaccess Dateien oder ini_set kann man die Übergabe der Session-ID unterbinden

.htaccess:

ini_set():
Die .htaccess Datei hat den Vorteil, dass der Code nur einmal erstellt werden muss. Der Code der php_ini Methode muss in jeder PHP-Datei eingebunden werden.

Es wurden noch keine Kommentare geposted.

Sei der Erste und teile uns Deine Meinung mit.