Tweet
Hallo,
ich habe mal wider ein Problem (bzw. hab es die ganze Zeit gehabt nur jetzt erst beim testen bemerkt)
Also, auf meiner Seite muss sich der User einloggen um seine persöhnlichen Daten zu verwalten.
Wenn er sich eingeloggt hat wird in die Session reingeschrieben das er eingeloggt ist und jede aufgerufene Seite fragt das natürlich ab.
Eigentlich ja kein Problem, Session ist im Cookie und so soll es ja auch sein!
Aber, ich dachte mir: jemand kann ja an seinem Browser Cookies deaktiviert haben, der soll aber sich auch einloggen können und wenn er die Seite wechselt soll die SID mitübergeben werden (soll ja nicht von einer Seite zur anderen sich automatisch ausloggen).
Diese SID sieht man komischerweise aber nicht im Browser (Adressfeld) immer. Wenn ich aber oft genug herum-'linke' kommt sie an einer bestimmten Stelle dann doch in die Adresszeile des Browsers (obwohl ich bei jedem Link die SID übergebe).
Wenn ich diese Zeile nun herauskopiere und jemandem schicke (z.B. über Messenger) und dieser jemand klickt diesen Link dann an kommt er in den geschützen Bereich des Users der sich eingeloggt hat!!!!
Das darf so natürlich nicht stehen bleiben!
Gibts dazu Lösungsansätze ?
Ich will natürlich das sich alle Anmelden können, egal ob Cookie erlaubt ist oder nicht, will aber das man das nicht an andere Übertragen kann wenn man den Link mit der SID 'rüberschickt'....
ich habe mal wider ein Problem (bzw. hab es die ganze Zeit gehabt nur jetzt erst beim testen bemerkt)
Also, auf meiner Seite muss sich der User einloggen um seine persöhnlichen Daten zu verwalten.
Wenn er sich eingeloggt hat wird in die Session reingeschrieben das er eingeloggt ist und jede aufgerufene Seite fragt das natürlich ab.
Eigentlich ja kein Problem, Session ist im Cookie und so soll es ja auch sein!
Aber, ich dachte mir: jemand kann ja an seinem Browser Cookies deaktiviert haben, der soll aber sich auch einloggen können und wenn er die Seite wechselt soll die SID mitübergeben werden (soll ja nicht von einer Seite zur anderen sich automatisch ausloggen).
Diese SID sieht man komischerweise aber nicht im Browser (Adressfeld) immer. Wenn ich aber oft genug herum-'linke' kommt sie an einer bestimmten Stelle dann doch in die Adresszeile des Browsers (obwohl ich bei jedem Link die SID übergebe).
Wenn ich diese Zeile nun herauskopiere und jemandem schicke (z.B. über Messenger) und dieser jemand klickt diesen Link dann an kommt er in den geschützen Bereich des Users der sich eingeloggt hat!!!!
Das darf so natürlich nicht stehen bleiben!
Gibts dazu Lösungsansätze ?
Ich will natürlich das sich alle Anmelden können, egal ob Cookie erlaubt ist oder nicht, will aber das man das nicht an andere Übertragen kann wenn man den Link mit der SID 'rüberschickt'....
Kommentar