Sicherheitssoftware CTXtra
Hallo 08 Februar 2012, 11:06:31 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und SitzungslängeSorry, Du musst für die Shout Box eingeloggt sein!
News: Wir suchen Übersetzer für andere Sprachen.
 
  Übersicht Hilfe Suche Einloggen Registrieren  
Seiten: [1]   Nach unten
« vorheriges nächstes »
  Drucken  
Autor Thema: Session ID in der URL sollte entfernt werden!!  (Gelesen 3390 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Nordin
Administrator
Hero Member
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 1.125



E-Mail
« am: 25 November 2007, 14:37:33 »
Wichtig! Was mir heute aufgefallen ist, bei vielen Scripten wird in der URL die SessionID angezeigt.

Bei PHPKit sieht das zum bsp so aus:
PHPKITSID=pNyGi11yOal59a2IEchOd8ZNOXv3V8x3

Wenn sich jetzt in der seesionid durch zufall z.B. begriffe wie "echo" befinden. Schlägt der CTXtra natürlich zu und blöckt den user.

Bsp: PHPKITSID=pNyGi11yOal59a2IEchOd8ZNOXv3V8x3

Ihr solltet also unbedingt vermeiden das eure SessionID per GET (also in der URL) übergeben wird.
Wer die möglich keit hat und es selber kann ändert bitte seine Scripte so im das sie in Cookies oder in Session übergeben wir.

Wenn wir beim Beispiel PHPKit weiter machen dann würde ich den einfachen weg empfehlen.
Einfach eine .htaccess datei mit folgendem Inhalt erstellen:
Code:
RewriteEngine on
php_flag session.use_trans_sid off

Oder einfach aus dem Anhang hier nehmen Zwinkernd

Das die SessionID dann entfernt ist kommt nicht nur dem CTXtra zu gute. Ein sehr guter Nebenefekt ist natürlich das sich google bei euch dafür bedanken wird.


Nordin
« Letzte Änderung: 06 Februar 2008, 15:38:31 von Nordin » Gespeichert
Bei Problemen bitte IMMER CTXtra Version und PHP-Version mit angeben!!!
Welche PHP Version bei euch läuft seht ihr unter http://deine-seite.tld/ctracker/admin/phpinfo.php
Nikwin
Newbie
*
Offline Offline

Geschlecht: Männlich
Beiträge: 9


WWW
« Antworten #1 am: 26 November 2007, 08:34:11 »
Danke Nordin!

Ich habe den Code einfach mal in meine .htaccess einefügt.
Kann ja nicht schaden, oder?
(SMF 1.1.4 - MK-Portal 1.1.2b)
Gespeichert
Nordin
Administrator
Hero Member
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 1.125



E-Mail
« Antworten #2 am: 26 November 2007, 11:44:47 »
Nöö schaden sollte er nicht. Das einzige was passieren kann wäre, dass Scripte die sich die SessionID aus der URL holen nicht mehr sauber laufen. Aber von diesen Scripten sollte man sich dann eh ver abschieden Zwinkernd
Gespeichert
Bei Problemen bitte IMMER CTXtra Version und PHP-Version mit angeben!!!
Welche PHP Version bei euch läuft seht ihr unter http://deine-seite.tld/ctracker/admin/phpinfo.php
+Jürgen+
Betatester
Jr. Member
****
Offline Offline

Beiträge: 58



WWW
« Antworten #3 am: 07 Januar 2008, 02:11:49 »
Wie sieht das bei einem wbb aus?
Gespeichert
schlumpfi
Moderator
Hero Member
*****
Offline Offline

Beiträge: 1.309
« Antworten #4 am: 07 Januar 2008, 09:22:04 »
sollte beim wbb auch funzen...

hab selber eins (2.3.6 pl2)

mfg
Gespeichert
Man muß nicht alles wissen, man muß nur wissen, wo es steht!
sofix
Betatester
Newbie
****
Offline Offline

Geschlecht: Männlich
Beiträge: 23



WWW
« Antworten #5 am: 09 Oktober 2011, 20:13:10 »
wie sieht das mit mybb 1.6.4 aus?
« Letzte Änderung: 11 Oktober 2011, 13:27:44 von sofix » Gespeichert
Seiten: [1]   Nach oben
  Drucken  
« vorheriges nächstes »
 
Gehe zu:  

TinyPortal v.1.0.6 beta 2 © Bloc
Powered by MySQL Powered by PHP Powered by SMF 1.1.7 | SMF © 2006, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.075 Sekunden mit 27 Zugriffen.