Sessions bei abgeschalteten cookies

[alexf812]

Zitat:

Zitat von giv

bau doch mal ein solches szenario, wenn du meinst, dass es funktionieren könnte. learning by doing

EDIT

ok , hat sich erledigt. jetzt muss es nur noch Master_T2 kapieren.

@giv danke für deine hilfe, hab es grad mal gemacht, daher bin ich auch auf den trichter gekommen. die cookies abgeschaltet und jedesmal wird ne neue sessionID angezeigt, daher kann mein bsp mit der datenbank auch nich gehen wie ich es geschildert habe.

aber wozu ist es dann sinnvoll die sessionID abzuspeichern? mir würde nur einfallen um evtl. die user, die online sind anzuzeigen

[giv]

naja, einerseits könntest du damit übersichten erstellen, welche sessions wann gestartet wurden (monitoring), weil man da evtl. so nicht dran kommt - also an die internen daten des session manager oder session handler, wie steffen ihn nennt.

andererseits ist es vielleicht sinnvoll, wenn du die php session erweitern willst, also etwa die sessiondaten auf bestimmte art selbst speichern/verwalten willst. hat steffen ja auch angesprochen. is aber nur in seltenen fällen notwendig.

[alexf812]

naja also kann ich ja doch alles so machen wie bisher. hab jetzt wenigstens das hintergrundwissen um die fälle abzufangen wo ich vorher nicht wusste warum es so ist und kann entsprechend reagieren

[steffenk]

nochmal zu dem Thema Session abspeichern - das sinnvollste Szenario ist dieses Forum.
In der Session wird markiert, welche Themen man schon gelesen hat.

Jetzt loggst Du Dich unterwegs von einem anderen Computer ein - und dann wird Deine Session aus der DB benutzt - alles geht am selben Punkt weiter wie Deine letzte Session aufgehört hat.

Für Shops macht das u.U. auch Sinn, wenn man das nächste mal seine Bestellung fortführen will. Dazu gehört aber eine eindeutige Authentifizierung per Name/PWD

[giv]

stimmt, das geht aber nur, wenn der user sich noch authentifiziert - also quasi session mit clientwechsel. Raffinierte Sache!

natürlich, das bringt mich auf eine idee, wenn sich die user sowieso immer authentifizieren, dann kann man die session id auf dem server lassen. allerdings müsste man da eine http authentifizierung machen, also entsprechend den webserver konfigurieren. damit könnte man das cookieproblem lösen. clientseitige sessions können die user agents ja alle.

[Master_T2]

Zitat:

Trotzkopf

Probier es aus, wie Dennis gesagt hat. "Learning by doing" ist für mich auch immer das beste .

Nebenbei: Wenn es funktionieren würde, wie du felsenfest behauptest, wozu gibt es dann überhaupt Session-IDs? Die wären doch dann völlig sinnlos.

Du hast mich definitiv nicht verstanden... Naja, belassen wir es dabei. Ich nutze meine Methode immer und ich weiss, dass sie funktioniert...

[seb]

Dann klärn wir das aber jetzt bitte, echt. Ich wollt Dich ja nicht kränken oder so. Dieser Thread besteht anscheinend zu 99% aus Missverständnissen.

Also, was genau meintest Du?

[Strogij]

@seb: Der Kollege meint das so: Der User bekommt bei dem Aufruf von session_start() eine eigene Session-ID zugewiesen. Diese ID wird beim Login gespeichert. Ein anderer User, der diese ID kennt und an das Script übergibt wird auf sowas stoßen: Eigene ID ≠ Gespeicherte ID beim Login. Es ist also so, dass nur die ID, die beim Login erzeugt wird als die richtige ID für diese Session gilt - alles andere wird nicht zugelassen. Der Witz ist einfach der, dass man egal wie oft session_start() aufrufen wird, "immer" die gleiche ID raus kommt.
Vereinfacht: User A bekommt auch wenn er sich mehrmals hintereinander einloggt die ID "A", der User B bekommt die ID "B". Klaut jetzt der User B die ID "A" vom User A, wird er nicht zugelassen, da seine ID nun mal "B" lautet (seine Kriterien, die zur Erzeugung von einer ID notwendig sind entsprechen nicht denen von User A).

[DSB]

Zitat:

Zitat von Strogij

@seb: Der Kollege meint das so: Der User bekommt bei dem Aufruf von session_start() eine eigene Session-ID zugewiesen. Diese ID wird beim Login gespeichert. Ein anderer User, der diese ID kennt und an das Script übergibt wird auf sowas stoßen: Eigene ID ≠ Gespeicherte ID beim Login

Tut mir leid, das verstehe ich nicht.
Die Authentifizierugn erfolgt doch anhand der Session-ID, welche ja übergeben wird (auch von User B).
Nach meinem Verständnis kann der Fall Eigene ID ≠ Gespeicherte ID beim Login gar nicht eintreten.

[Master_T2]

Wunderbar, Strogij du sprichst mir aus der Seele

[Strogij]

Ich habe das selbst nicht getestet, ich wollte nur die Aussage von Master_T2 verständlicher hergeben.
Macht doch mal einen Test, und guckt dann ob es funzt. Ein Testscript erstellen und die Session-ID hier posten, die man per GET übergeben kann. Dann kann jeder probieren, die Sessiondaten auszulesen.

[giv]

@Master_T2: das, was Strogij eklärt, funktioniert. aber vorsicht, session verfallen auch nach einer bestimmten zeit, das sollte man bedenken. auch wenn strogij denkt, dass du das gemeint hattest, du hattest was anderes vorgeschlagen. und wenn du ursprünglich doch das meinstest, was strogij jetzt erklärt hat, dann frag ich mich, was das mit dem problem von alexf812 zu tun hatte? ok, vielleicht wars auch einfach nur ne idee, find ich ja prinzipiell nicht schlimm, wenn man das thema etwas erweitert, aber dann sollte man das auch sagen und nicht behaupten, dass man so das übermitteln der session id umgehen kann - das geht damit nämlich immer noch nicht.

[steffenk]

das wird nicht gehen

Aber man sollte erwähnen, das man natürlich auch selber eine SessionID vergeben kann.

Szenario: Ein User loggt sich ein (mit Benutzer und Passwort)
Daraufhin wird die letzte Session dieses Users in der DB gesucht, und dem User wird dieselbe SessionID "zugeteilt". Damit kann er seine alte Session aufnehmen.

Es gilt zu verhindern, das jemand mit einem Link inkl. SessionID einfach diese Session wieder aufnehmen kann ohne sich authentisiert zu haben - ist doch logisch, oder ?

[DSB]

Zitat:

Zitat von St@eff.en

Szenario: Ein User loggt sich ein (mit Benutzer und Passwort)
Daraufhin wird die letzte Session dieses Users in der DB gesucht, und dem User wird dieselbe SessionID "zugeteilt". Damit kann er seine alte Session aufnehmen.

Es gilt zu verhindern, das jemand mit einem Link inkl. SessionID einfach diese Session wieder aufnehmen kann ohne sich authentisiert zu haben - ist doch logisch, oder ?

Eben.
Und genau das passiert wenn User B einen Link mit der Session_id bekommt.
Er kann dann einfach daraufklicken, die Session_id wird als gültig erkannt. User B gelangt so automatisch in die Session von User A und ist somit als dieser authentifiziert und hat folglich Zugriff auf alle Daten von User A).
Ich verstehe nicht wie Master_T2s Vorschlag das verhindern soll.
Kann mir da nochmal jemand gedanklich auf die Sprünge helfen? Ich würde das gern verstehen.

[seb]

Dennis:

Nein, Das von Strogij funktioniert doch auch nicht, oder steh ich grad komplett auf dem Schlauch? Wenn jemand eine Session-ID klaut und damit das Script aufruft, dann wird auch die zu dieser ID gehörende Session geladen, in der dann auch die gleiche Session-ID gespeichert ist.

Wie DSB sagt, der Fall übermittelte Session-ID != gespeicherter Session-ID KANN gar nicht eintreten. Das ist keine Sicherheitsmaßnahme, der Vergleich ist völlig sinnlos.

EDIT

Ah, DSB hat grad schon das gleiche gesagt. Sorry fürs Doppelposting, gewissermaßen. Aber wenigstens bestätigen wir uns gegenseitig .

Und wie Dennis sagte, mit dem Problem der Session-ID-Weitergabe hat das ja auch überhaupt nichts zu tun. Ein Schelm, wer denkt, dass sich Master_T2 hier rausreden will .

Wie auch immer, ich bin hier jetzt wirklich weg. alexf812's Probleme sind ja längst gelöst, und was wir hier reden, ist irgendwie nur noch Matschepampe.