str_replace Problem

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    Ist das Verzeichnis sessions ein NFS-Link? Wie sonst kann Domain2 auf die Session-Daten zugreifen, die von Domain1 abgelegt wurden?

    Kommentar


    • #17
      Ja, der Token ist das was übergeben wird. Und über den Token wird die SessID in der Datenbank ausgelesen.

      Die Domains sind alle einem Account zugeordnet. Entsprechend haben sie alle vollen Zugriff auf das Web-Dateiverzeichnis.

      Kommentar


      • #18
        Die Domains sind alle einem Account zugeordnet. Entsprechend haben sie alle vollen Zugriff auf das Web-Dateiverzeichnis.
        Welchen Grund gibts dann auf eine eigene Session Verwaltung zu setzen?
        Wir werden alle sterben

        Kommentar


        • #19
          Wenn du mir verrätst wie ich für mehrere Domains die auf eine IP / ein Verzeichnis auf dem Server zeigen die selbe Session verwenden kann wäre das ganz wunderbar und würde mir viele viele Probleme lösen. Ich habe leider diesbezüglich aber nichts gefunden was das ganze möglich macht.

          Und so oder so bleibt doch das Problem, dass ein Cookie (den die Session setzt) nur für eine Domain registriert werden kann.

          Wenn es dafür eine simple Lösung gibt ... sehr gerne.

          Kommentar


          • #20
            Na wenn du statt deines Token gleich die Session-ID übergibst, dann hast du das vermeintliche Problem doch schon gelöst ...

            (Gut, die Frage nach der Sicherheit bliebe da noch. Aber diesbezüglich sehe ich erst mal nicht, was an deinem Token sicherer sein sollte, als an direkter Übergabe der SID.)
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar


            • #21
              Tipp:
              Die Doku zu session_id() aufmerksam lesen.
              Wir werden alle sterben

              Kommentar


              • #22
                Übergebe ich gleich die Session ist die Übernahme dieser wesentlich vereinfacht. Denn der Token ist nur wenige Sekunden gültig und wird zudem per "Fingerprint" geprüft. Heißt Session-Diebstahl wird doch deutlich erschwert.

                @combie: Meinst du mit der Doku das Manual?
                PHP: session_id - Manual

                Und falls ja - meinst du diese Passage?
                get or set the session id for the current session
                Ich habe anfangs mit der Session herumgespielt und versucht eine bestehende Session auf eine andere Domain zu kopieren. Egal was ich allerdings versucht habe - ich hatte keinen Erfolg... :-/

                Kommentar


                • #23
                  Ja, genau!
                  Diese Passage und die anderen allerdings auch.

                  Ist bei dir Suhosin installiert??
                  Wir werden alle sterben

                  Kommentar


                  • #24
                    Wie gesagt - die Versuche mit der original Session haben leider keinen Erfolg gebracht.

                    Suhosin ist sowohl lokal als auch aufm Server nicht installiert.

                    Kommentar


                    • #25
                      Wie gesagt - die Versuche mit der original Session haben leider keinen Erfolg gebracht.
                      Tja, dazu kann ich dann auch nichts sagen, denn ich kenne deine Versuche nicht.
                      Wir werden alle sterben

                      Kommentar


                      • #26
                        Zitat von waldgeist Beitrag anzeigen
                        Übergebe ich gleich die Session ist die Übernahme dieser wesentlich vereinfacht. Denn der Token ist nur wenige Sekunden gültig und wird zudem per "Fingerprint" geprüft. Heißt Session-Diebstahl wird doch deutlich erschwert.
                        Na das kannst du doch aber auch gleich in die Session mit reinschreiben - einen Timestamp und den Fingerabdruck, und wenn ersterer bei Wiederaufnahme der Session zu lange her ist oder zweiterer nicht mehr passt, dann halt die('und tschüss');
                        I don't believe in rebirth. Actually, I never did in my whole lives.

                        Kommentar

                        Lädt...
                        X