|
Titel: Session ID in der URL sollte entfernt werden!! Beitrag von: Nordin am 25 November 2007, 14:37:33 Wichtig! Was mir heute aufgefallen ist, bei vielen Scripten wird in der URL die SessionID angezeigt.
Bei PHPKit sieht das zum bsp so aus: PHPKITSID=pNyGi11yOal59a2IEchOd8ZNOXv3V8x3 Wenn sich jetzt in der seesionid durch zufall z.B. begriffe wie "echo" befinden. Schlägt der CTXtra natürlich zu und blöckt den user. Bsp: PHPKITSID=pNyGi11yOal59a2IEchOd8ZNOXv3V8x3 Ihr solltet also unbedingt vermeiden das eure SessionID per GET (also in der URL) übergeben wird. Wer die möglich keit hat und es selber kann ändert bitte seine Scripte so im das sie in Cookies oder in Session übergeben wir. Wenn wir beim Beispiel PHPKit weiter machen dann würde ich den einfachen weg empfehlen. Einfach eine .htaccess datei mit folgendem Inhalt erstellen: Code: RewriteEngine on php_flag session.use_trans_sid off Oder einfach aus dem Anhang hier nehmen ;) Das die SessionID dann entfernt ist kommt nicht nur dem CTXtra zu gute. Ein sehr guter Nebenefekt ist natürlich das sich google bei euch dafür bedanken wird. Nordin Titel: Re: Session ID in der URL sollte entfernt werden!! Beitrag von: Nikwin am 26 November 2007, 08:34:11 Danke Nordin!
Ich habe den Code einfach mal in meine .htaccess einefügt. Kann ja nicht schaden, oder? (SMF 1.1.4 - MK-Portal 1.1.2b) Titel: Re: Session ID in der URL sollte entfernt werden!! Beitrag von: Nordin am 26 November 2007, 11:44:47 Nöö schaden sollte er nicht. Das einzige was passieren kann wäre, dass Scripte die sich die SessionID aus der URL holen nicht mehr sauber laufen. Aber von diesen Scripten sollte man sich dann eh ver abschieden ;)
Titel: Re: Session ID in der URL sollte entfernt werden!! Beitrag von: +Jürgen+ am 07 Januar 2008, 02:11:49 Wie sieht das bei einem wbb aus?
Titel: Re: Session ID in der URL sollte entfernt werden!! Beitrag von: schlumpfi am 07 Januar 2008, 09:22:04 sollte beim wbb auch funzen...
hab selber eins (2.3.6 pl2) mfg Titel: Re: Session ID in der URL sollte entfernt werden!! Beitrag von: sofix am 09 Oktober 2011, 20:13:10 wie sieht das mit mybb 1.6.4 aus?
|