unex`9dots Administrator
Angemeldet: 02.08.2003 Beiträge: 1106 Wohnort: Karlsruhe Interessen: Coding, Segeln, Schwimmen, PC
|
Verfasst am: 25.08.2005, 17:10 Titel:
|
|
|
|
|
ok wenn es so verwirrend war
1.) absoluter Link - wie der Name schon sagt wird der Link ABSOLUT angegeben also z.b. href="http://eigeneseite.de/index.php"
2.) relativer Link - wie der Name sagt wird der Link RELATIV zum Pfad der derzeitigen Datei angegeben. befinde ich mich also schon im Ordner in dem die Index liegt wird der link nur href="index.php" sein. |
|
xaan Mitglied
Angemeldet: 19.04.2005 Beiträge: 370 Wohnort: Bayern Interessen: C#, C++, PHP, Security
|
Verfasst am: 25.08.2005, 17:31 Titel:
|
|
|
|
|
schon besser (:
ich möcht dann noch mal nebenbei erwähnen, dass ich nicht empfehlen würde session ids zu verwenden! Zu mindest nicht in der URL. Das bietet eine rieeesige sicherheitslücke, wie ich finde.
Es gibt eine viel bessere alternative dazu die auch keine cookies erfordert:
beim login lässt man einfach die ip des benutzers in $_SESSION[] registrieren und dann einfach abfragen ob die benutzer ip der ip die in $_SESSION[] gespeichert wurde vergleichen |
|
daniel90 Mitglied
Angemeldet: 12.08.2004 Beiträge: 85 Wohnort: Bayern
|
Verfasst am: 25.08.2005, 19:16 Titel:
|
|
|
|
|
Das mit der IP kann man ja noch zusätzlich machen, dann ist es noch sicherer
Ich hab mal noch eine Frage zu den Sessions:
Die Session speichert ja die Session ID automatisch in einem Cookie (wenn Cookies erlaubt sind!!). Und jetzt die Frage: Wie kann man dann auf der geschützten Seite die Session ID aus dem Cookie abfragen, um sie mit der aktuellen Session Id zu vergleichen? |
|
unex`9dots Administrator
Angemeldet: 02.08.2003 Beiträge: 1106 Wohnort: Karlsruhe Interessen: Coding, Segeln, Schwimmen, PC
|
Verfasst am: 25.08.2005, 19:24 Titel:
|
|
|
|
|
an dieser Stelle möchte ich mal die Notbremse ziehen. Die Diskussion über Sessions und ihre Sicherheit hatten wir schon öfters und ich empfehle mal die anderen Threads zum thema Login zu lesen.
Zum Thema Sicherheit empfehle ich:
http://www.sans.org/rr/whitepapers/webservers/1594.php
Die Idee Sessions seien unsicher und man sollte lieber IP benutzen ist schlecht, da viele User die gleiche IP haben sh. div. AOL-Kunden sowie Firmenrechner. Sessions sind keine 100% sichere Lösung. Es gibt keine 100% sichere Lösung.
Ich empfehle euch ein abwägen zwischen weniger Sicherheitsbedürftigen teilen und stark sicherheitsbedürftigen Teilen. Für ein normales Userlogin mit Profiländern etc. ist es sicherlich sehr lästig als User Cookies unbedingt aktiviert haben zu müssen. Hier tuen es auch an die URL angehängte sessionIDs, sofern sie mit einem Verfallszeitpunkt versehen sind.
Für wirkliche Adminbereiche empfehle ich, dass User Cookies zulassen müssen. Natürlich kann man auch Cookies fälschen... aber wie gesagt... nichts ist 100% sicher. |
|