Diskussion:Sitzungsbezeichner
Wie entsteht eine SessionID? Kennt jemand den Algorithmus? Wer hat ihn eingeführt? Wie kann man eine Session "entführen" (Session hijacking), welche Vorraussetzungen muss der Angreifer erfüllen? --da didi | Diskussion 14:50, 14. Jul 2005 (CEST)
- Es gibt nicht den Algorithmus. Eine Session-ID ist lediglich eine Art einen endlichen Automaten über ein stateless Protokoll zu konzipieren. Eine Session-ID kann man beispielweise per Referrer "stehlen" (Stichwort: Webmail) oder indem man ganz ordinär das Netzwerk belauscht (Stichwort: LAN insbesondere WLAN). Eine schlechte Session-ID kann man ganz einfach erraten. --Cyclonus 21:38, 14. Jul 2005 (CEST)
"Diese meist "md5 digest" Strings sind 32 Zeichen lang. Sie können z.B. "PHPSESSID" heißen, dies ist der Standardname bei PHP. Sessiondaten können dabei nur serverseitig manipuliert werden." Sorry das gehört hier nicht hin. Hier geht es nicht um PHP und was Sessiondaten sind, sollte unter Session zu finden sein! Gruß Ebertplatz 23:35, 13. Mai 2006 (CEST)
Es fehlt noch eine Information darüber, nach welcher Zeit der Untätigkeit eine Sitzung vom Server automatisch abgemeldet werden soll. – 84.178.86.199 21:11, 13. Mär. 2007 (CET)
- Das ist Sache der Session selbst. Die Session-ID ist nur das Mittel zum Zweck. Allerdings kann auch der Browser oder der User die Session durch Löschung/Entfernung der Session-ID faktisch beenden. Gruß Gerd Ebertplatz 22:03, 13. Mär. 2007 (CET)
URI-Rewriting-Techniken und HTML-Formulare
[Quelltext bearbeiten]Die Navigation muss bei dieser Technik immer über HTML-Formulare erfolgen, falls nicht zusätzliche URI-Rewriting-Techniken zum Einsatz kommen. Was ist hier im zweiten Halbsatz gemeint? Kann das jemand genauer erklären oder erklärende Links legen?! Sonst würde ich den Halbsatz rausschmeißen. Gruß Gerd Ebertplatz 11:10, 31. Aug. 2007 (CEST)
- Wenn ich mich recht erinnere, habe ich das 'mal geschrieben mit dem Hintergedanken, dass die reine Session-Verfolgung über HTML-Formulare eher unüblich ist. Mit dem Hinweis auf URI-Rewriting sind wir dann aber wieder bei einer anderen (bereits erklärten) Methode. Der Halbsatz ist also tatsächlich eher überflüssig und irreführend. Ich werde ihn entfernen.
- Hatte ich fast vermutet... Danke und Gruß Ebertplatz 00:44, 1. Sep. 2007 (CEST)
Verschiebung „Session-ID“ nach „Sitzungs-ID“
[Quelltext bearbeiten]Ich halte diese Verschiebung ohne Diskussion und Begründung für reichlich dreist und werde sie rückgängig machen, falls die Diskussiion hier nicht eine andere Meinung zeigt! Ebertplatz 23:54, 7. Dez. 2007 (CET)