SSL und PHP

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    SSL und PHP

    Hallo,
    ich möcht mich mal erkundigen, ob es sinnvoll ist einen eingeloggten User generell über die sichere Verbindung surfen zu lassen, da er ja ein Session-Cookie besitzt und dort alle Logindaten (in der Session) gespeichert sind oder es vollkommen ausreicht den User beim Login (Passwort- und Usernameneingabe) über die sichere Verbindung zu schicken.
    Stichworte: -
  • #2
    SSL schadet nie, aber nur um ein Session-Cookie zu schützen, muß es eigentlich nicht sein. Der Keks enthält keine Zugangsdaten.
    Also wenn du den Login über SSL abwickelst, dann bleib bis zum Ausloggen im SSL-Bereich. Für deine Scripte ist es ohnehin weitestgehend transparent.

    Kommentar

    • #3
      OK, vielen Dank.
      Aber ist es nicht möglich die entsprechende Session-ID aus dem Cookie abzufangen und dann einfach selbst die Internetseite aufzurufen und dort die session-id im cookie einfach zu ändern? (so wäre der spion als der ursprüngliche user eingeloggt.)

      Ich denke, dass ich es dann so wie du beschrieben machen werde, danke

      Kommentar

      • #4
        Original geschrieben von hasch
        Aber ist es nicht möglich die entsprechende Session-ID aus dem Cookie abzufangen und dann einfach selbst die Internetseite aufzurufen und dort die session-id im cookie einfach zu ändern? (so wäre der spion als der ursprüngliche user eingeloggt.)
        Die Session-ID kann der User nicht direkt ändern, dazu müßte er sich aus- und wieder einloggen. Dann bekommt er eine neue ID, die er allerdings auch nicht vorher bestimmen kann.

        Damit ein Man in the Middle eine SSL-Session übernehmen kann, muß er schon vorm Austausch des SSL-Zertifikats in the Middle gesessen haben. Dagegen hilft gar nichts, weder SSL noch sonstwas (mit vernünftigem Aufwand realisierbares).

        Kommentar

        Vorherige template Weiter
        Lädt...
        X