in fremden Account reinkommen?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • in fremden Account reinkommen?

    Hallo,

    habe ein Loginsystem per Session und die Userdaten (also Login & Passwort) werden mit mySQL gespeichert. Nun hat mir ein User geschrieben, dass er in einem fremden Account gelandet ist beim Login Kann sowas wirklich passieren? Und wie kann ich es verhindern, dass so etwas noch einmal passiert?

    Danke fürs Lesen & mögliche Antworten

    Sven
    "Mein Zeige- und Dein Mittelfinger würden ein Peace ergeben" (Eins Zwo "Ey Du")

  • #2
    Falls es da wirklich diesen Unsicherheitsfaktor gibt, würde mich das auch mal interessieren. Benutze auch session.

    Gruß

    Kommentar


    • #3
      hi!

      das hört sich nach nem problem an, das ich mit dem php-shop phorSale hatte. benutzt du ihn zufällig auch oder weisst du, wie die userid bei dir erzeugt wird? dort könnte nämlich dein problem liegen.

      ohne code allerdings blosse mutmassung.

      beebob

      Kommentar


      • #4
        Bist Du da Liebling?

        Kommentar


        • #5
          ich fang auch grad erst an mit sessions zu arbeiten, hmm, hatte auch meine bedenken, wenn die session id über die url weitergeleitet wird, das wenn der link irgendwie nem freund geschickt wird, daß der dann auf die daten der session mit der selben session id zgreifen kann, aber hab das mal ausprobiert, aber hat gott seinfank nicht funktionert
          meine Projekte bestaunen: http://www.kleiza.de

          Kommentar


          • #6
            die php-sessions sind, sobald sie in z.B. einem forum (oder überall, wo links gepostet werden können) verwendet werden, aber nicht in cookies gespeichert werden, relativ unsicher.

            ich würde dir empfehlen, eine art session-managment zu schreiben, dass z.B. die ip und ähnliche, user-spezifische daten vergleicht. sollten sie bei einer id abweichen, ist sie ungültig...

            Kommentar


            • #7
              emm, reicht es, wenn ich die IP in die session speichere und die jedesmal bei einem seitenaufruf mit der aktuellen vergleiche ?
              meine Projekte bestaunen: http://www.kleiza.de

              Kommentar


              • #8
                ja.

                ich würde aber noch die client-daten dazunehmen.

                Kommentar


                • #9
                  warum benützt ihr nicht SID? Wenn PHP mit enable-trans-sid kompiliert wurde, müsst ihr die session id nicht weitergeben in der url, sondern wird automatisch verdeckt weitergegeben. Danach muss nur session_start(SID); gemacht werden in der aufgerufenen page.

                  checkt mal eure php.ini ob enable-trans-sid = 1 definiert ist

                  gruss
                  artemis

                  Kommentar


                  • #10
                    Hi!
                    Wenn Du in einem cookie die UserID speicherst und dann bei jedem Seitenaufruf vergleichst, ob die SessionID und die UserID zum selben Datensatz gehören, sollte das Problem nicht mehr auftreten.
                    cu tj99de
                    Of all things I've lost
                    I miss my mind the most

                    Kommentar


                    • #11
                      Original geschrieben von tj99de
                      Hi!
                      Wenn Du in einem cookie die UserID speicherst und dann bei jedem Seitenaufruf vergleichst, ob die SessionID und die UserID zum selben Datensatz gehören, sollte das Problem nicht mehr auftreten.
                      cu tj99de
                      da stellt sich dann nur noch das problem, dass nicht jeder user cookies akzeptiert...

                      Kommentar


                      • #12
                        Das ist dann das Problem des Users, wenn jemand bei einem login keinen Cookie akzeptiert, dann kann er sich halt nicht einloggen.
                        Sieh Dir mal die ganzen großen Freemailanbieter an, da mußte auch immer nen Cookie akzeptieren...
                        Of all things I've lost
                        I miss my mind the most

                        Kommentar


                        • #13
                          Ein Problem ist das aber nicht unbedingt ... sobald die session "merkt" das sie keinen Cookie fuer die Session-ID setzen kann, haengt sie die ID an die URL ran.
                          Das kann man aber auch in der php.ini irgendwie abschalten das die session das macht. Nur keine Ahnung wie.

                          Kommentar


                          • #14
                            Hallo,

                            danke für die Antworten, werde es wohl mit session + Cookies probieren!

                            Original geschrieben von beebob
                            hi!

                            das hört sich nach nem problem an, das ich mit dem php-shop phorSale hatte. benutzt du ihn zufällig auch oder weisst du, wie die userid bei dir erzeugt wird? dort könnte nämlich dein problem liegen.

                            ohne code allerdings blosse mutmassung.

                            beebob
                            Nein, benutze ich nicht, ist ein "ganz normales" Script mit Login per Session und Userdaten (eMail-Adresse = Loginname, Passwort) werden halt in mySQL gespeichert, abgefragt und in Session tramsportiert...

                            Original geschrieben von panta
                            die php-sessions sind, sobald sie in z.B. einem forum (oder überall, wo links gepostet werden können) verwendet werden, aber nicht in cookies gespeichert werden, relativ unsicher.

                            ich würde dir empfehlen, eine art session-managment zu schreiben, dass z.B. die ip und ähnliche, user-spezifische daten vergleicht. sollten sie bei einer id abweichen, ist sie ungültig...
                            Aber solange ein User sich ordnungsgemäß ausloggt (d.h. Session zerstört), kann doch nix passieren?
                            Also könnte es bei meinem User, der in den fremden Account reingekommen ist, so gewesen sein, dass er in noch bestehende Session von einem anderen reingekommen ist oder die selbe Session ID zugewiesen bekommen hat hört sich ein bißchen unrealistisch an

                            Aber wie gesagt: Werde es mit Session + Cookie probieren und so das ganze hoffentlich sicherer machen

                            Sven
                            "Mein Zeige- und Dein Mittelfinger würden ein Peace ergeben" (Eins Zwo "Ey Du")

                            Kommentar

                            Lädt...
                            X