Wie verhindert Ihr die Session-ID im Referer?

Beitrag von **mcchaos** » 24.04.2005, 16:49

Hallo! Habe ein neues Projekt, bei dem ich mit Session-IDs von PHP arbeiten möchte.

Sind Cookies beim User an, ist ja alles fein.

Sind Cookies aber aus, könnte man die Session-ID ja über die URL transportieren lassen. Problem hierbei ist aber, dass wenn der User einem externen Link folgt, im Logfile der Zieldomain ja die Session-ID im Referer mit auftaucht. Somit könnte der Inhaber dieser Domain die Session übernehmen.

Gibts dafür ne Lösung? Wie macht Ihr das? Oder haben bei Euch die x%, die keine Cookies an haben, einfach verloren? Wie hoch ist x% Eurer Erfahrung nach?

von **Anzeige von ABAKUS** »

Beitrag von **netforge** » 24.04.2005, 17:16

benutz ein redirect.php?https://www.domain.tld

Beitrag von **Nexus** » 24.04.2005, 17:16

Hi,

für dieses Problem gibt es mehrere Lösungen:

1. User-Agent checken. Wenn dieser sich innerhalb der Session ändert, ist es warscheinlich das es ein anderer User ist -> Session neu starten.

2. IP-Adresse checken.Wenn Wechsel -> Session neu starten. Hier kannst du aber ein paar Probleme mit AOL-Usern bekommen.

3. letzten Zugriff mitschreiben. Wenn Differenz zu groß -> Session neu starten.

Gruß
Nexus