Diskussionsforum
Menü

Kommunikative Kekse


13.05.2005 20:32 - Gestartet von Keks
Kommunikative Kekse

Ich bin auch ein kommunikativer Keks. ;)

Nochwas zu Cookies: Es ist oft gefährlicher, sie abzuschalten. Denn dann werden die Session-IDs nicht mehr als Cookie gespeichert, sondern in der URL (Internet-Adresse) übertragen, also z.B. so:
http://www.meine-bank.de/?phpsessid=HGUN6jdJjh34ndhZH67H

Wenn man dann jemandem einen Tipp geben will, wo er ein tolles Girokonto kriegt und diese URL in ein Forum postet, so können Andere u.U. die Session übernehmen. Dazu muss man die URL auch nicht in ein Forum posten, es genügt, auf eine andere Website zu surfen, die URL wird dann als Referrer übermittelt und taucht z.B. in den Zugriffsstatistiken auf.

Ich lasse Cookies zu, aber nur die von der Original-Website. Ich lasse mich vor jedem Cookie aber fragen, ob ich es erlauben will. Außer bei Session-Cookies, die lasse ich immer zu (von der Original-Website). In Mozilla kann man das sehr schön einstellen. (In Firefox auch, da fehlt lediglich die Option, Session-Cookies immer zuzulassen. Für mich ein wichtiger Grund, bei Mozilla zu bleiben.)

Liebe Grüße, Keks
www.blitztarif.de
Menü
[1] Ohrmuschel antwortet auf Keks
13.05.2005 22:53
Das war klar!
Dass du als unser Cookie was dazuschreibst! :-)

Schöne Grüße
Ohrmuschel

Benutzer Keks schrieb:
Kommunikative Kekse

Ich bin auch ein kommunikativer Keks. ;)

Nochwas zu Cookies: Es ist oft gefährlicher, sie abzuschalten. Denn dann werden die Session-IDs nicht mehr als Cookie gespeichert, sondern in der URL (Internet-Adresse) übertragen, also z.B. so:
http://www.meine-bank.de/?phpsessid=HGUN6jdJjh34ndhZH67H

Wenn man dann jemandem einen Tipp geben will, wo er ein tolles Girokonto kriegt und diese URL in ein Forum postet, so können Andere u.U. die Session übernehmen. Dazu muss man die URL auch nicht in ein Forum posten, es genügt, auf eine andere Website zu surfen, die URL wird dann als Referrer übermittelt und taucht z.B. in den Zugriffsstatistiken auf.

Ich lasse Cookies zu, aber nur die von der Original-Website. Ich lasse mich vor jedem Cookie aber fragen, ob ich es erlauben will. Außer bei Session-Cookies, die lasse ich immer zu (von der Original-Website). In Mozilla kann man das sehr schön einstellen. (In Firefox auch, da fehlt lediglich die Option, Session-Cookies immer zuzulassen. Für mich ein wichtiger Grund, bei Mozilla zu bleiben.)

Liebe Grüße, Keks
www.blitztarif.de
Menü
[2] scharl antwortet auf Keks
13.05.2005 23:44
Benutzer Keks schrieb:

Ich lasse Cookies zu, aber nur die von der Original-Website. Ich lasse mich vor jedem Cookie aber fragen, ob ich es erlauben will. Außer bei Session-Cookies, die lasse ich immer zu (von der Original-Website). In Mozilla kann man das sehr schön einstellen. (In Firefox auch, da fehlt lediglich die Option, Session-Cookies immer zuzulassen. Für mich ein wichtiger Grund, bei Mozilla zu bleiben.)

Das läßt sich beim Firefox über about:config einstellen. Die entsprechenden Einträge beginnen mit network.cookie.* . Ausführlich wird das unter http://kb.mozillazine.org/About:config_entries (nur in englisch) erklärt.
Menü
[2.1] Keks antwortet auf scharl
15.05.2005 04:48
Benutzer scharl schrieb:
Das läßt sich beim Firefox über about:config einstellen. Die entsprechenden Einträge beginnen mit network.cookie.* .
Ausführlich wird das unter http://kb.mozillazine.org/About:config_entries (nur in englisch) erklärt.

Auf diese Weise kann man einige Einstellungen, die es in der GUI des Firefox nicht gibt, wiederbekommen, ja. Aber einerseits ist's nicht sonderlich bequem(*), andererseits auch nicht alle bzw. sie haben keinen Effekt (den man om Mozilla kennt).

(*) Man kann z.B. auch nicht einstellen, welche Seite erscheinen soll, wenn man ein neues Tab öffnet.

Liebe Grüße, Keks
www.blitztarif.de
Menü
[3] j.m. antwortet auf Keks
25.07.2005 13:29
Benutzer Keks schrieb:

Nochwas zu Cookies: Es ist oft gefährlicher, sie abzuschalten. Denn dann werden die Session-IDs nicht mehr als Cookie gespeichert, sondern in der URL (Internet-Adresse) übertragen, also z.B. so:
http://www.meine-bank.de/?phpsessid=HGUN6jdJjh34ndhZH67H

Wenn man dann jemandem einen Tipp geben will, wo er ein tolles Girokonto kriegt und diese URL in ein Forum postet, so können Andere u.U. die Session übernehmen.

Stimmt wohl, aber sobald du selbst auf "logout" klickst, ist die ID ungültig. Und das steht ja bei jedem Account (GMX, Bank, ...)!
Menü
[3.1] AnnaB antwortet auf j.m.
25.07.2005 21:44
Benutzer j.m. schrieb:
Benutzer Keks schrieb:

Nochwas zu Cookies: Es ist oft gefährlicher, sie abzuschalten.
Denn dann werden die Session-IDs nicht mehr als Cookie gespeichert, sondern in der URL (Internet-Adresse) übertragen,
also z.B. so:
http://www.meine-bank.de/?phpsessid=HGUN6jdJjh34ndhZH67H

Wenn man dann jemandem einen Tipp geben will, wo er ein tolles Girokonto kriegt und diese URL in ein Forum postet, so können Andere u.U. die Session übernehmen.

Stimmt wohl, aber sobald du selbst auf "logout" klickst, ist die ID ungültig. Und das steht ja bei jedem Account (GMX, Bank, ...)!
Nicht bei jeder Browser-Server Konfiguration funktioniert das Logout so, wie man es sich vorstellt und es gilt die ID weiterhin. Erst das manuelle Löschen der Cookies und aktualisieren der Homepage liefert dann das entsprechende Resultat.

Ciao
AnnaB
Menü
[3.1.1] j.m. antwortet auf AnnaB
25.07.2005 21:50
Ok, bei Bank-Seiten schließe ich nach jedem Login zusätzlich noch meinen Browser, so dass der Memory-Cache vom Firefox auch leer wird. Cookies verfallen immer am Ende der Sitzung.

Und an anderen PCs außer meinem Heim-PC mache ich keinen Bank-Login.
Menü
[3.1.1.1] AnnaB antwortet auf j.m.
26.07.2005 20:14
Benutzer j.m. schrieb:
Ok, bei Bank-Seiten schließe ich nach jedem Login zusätzlich noch meinen Browser, so dass der Memory-Cache vom Firefox auch leer wird. Cookies verfallen immer am Ende der Sitzung.
Hmm, aber woher weiss der Server dass die Sitzung beendet ist, wenn ausgerechnet das Logout nicht funktioniert? ;-)
User is waiting for server timeout - if there is any.

[...]

Ciao
AnnaB
Menü
[3.1.1.1.1] comedian antwortet auf AnnaB
01.01.2006 21:01
Benutzer AnnaB schrieb:
User is waiting for server timeout - if there is any. Ciao
AnnaB

Ein Beispiel hierfür ist der T-Online Suchdienst. Der URL mit SessionID der in den Logs meines Webservers als Referrer aufgezeichnet war, war nach über drei Stunden noch gültig.

Gruß
Comedian
Menü
[3.2] Keks antwortet auf j.m.
25.07.2005 21:44
Benutzer j.m. schrieb:
Stimmt wohl, aber sobald du selbst auf "logout" klickst, ist die ID ungültig. Und das steht ja bei jedem Account (GMX, Bank, ...)!

Ja, aber das macht nicht jeder. Manche schließen einfach das Fenster oder geben eine neue URL ein oder klicken sich zu einer anderen Website weiter -- und die URL wird bei den meisten als Referrer übertragen.

Daher sollten sicherheitskritische Seiten wie Banken es gar nicht zulassen, dass die Session-ID im URL übertragen wird. Ich entwickle zur Zeit eine Webapplikation, bei der man sich anmelden (einloggen) muss, und dort lasse ich die Session-ID nur als Cookie zu. Ohne aktivierte (Session-)Cookies kommt man nicht rein.

Liebe Grüße, Keks
www.blitztarif.de
Menü
[3.2.1] j.m. antwortet auf Keks
25.07.2005 21:49
Ok, verstehe die Logik, obwohl ich mit Web nichts am Hut hab.