Ich weiß, ich könnte mir das vermutlich auch alles selbst irgendwo anlesen und habe daher Verständnis, wenn Ihr meine Fragen mit Missachtung strafen würdet. Ich versuche es mir aber trotzdem einmal einfach zu machen und lade meine Fragen hier einfach ab ;-)
Es geht um Session-IDs. Meinem Verständnis nach ist dies eine Funktion von z.B. PHP, die bewirkt, dass jeder Client eine eindeutige ID zugewiesen bekommt und alle Variablen-Werte über diese ID irgendwo in einer Datei oder evtl. auch einer Datenbank-Tabelle abgespeichert werden, sodass der PHP-Entwickler sich um nichts kümmern muss und bei einem Server-Request des Clients sofort wieder alle Werte parat hat, richtig? Also welcher User angemeldet ist usw...
Meinstens wird diese Session-ID doch mit GET im Link übertragen, oder? Also Klartext!?
Wäre es denn hierbei nicht für subversive Subjekte relativ einfach, eine Session-ID aus irgendeinem Link einfach abzufischen und unter dieser Session-ID dann einfach weiter zu arbeiten, bzw. Daten zu klauen, manipulieren, löschen, etc.?
Danke im Voraus,
Duftox
Es geht um Session-IDs. Meinem Verständnis nach ist dies eine Funktion von z.B. PHP, die bewirkt, dass jeder Client eine eindeutige ID zugewiesen bekommt und alle Variablen-Werte über diese ID irgendwo in einer Datei oder evtl. auch einer Datenbank-Tabelle abgespeichert werden, sodass der PHP-Entwickler sich um nichts kümmern muss und bei einem Server-Request des Clients sofort wieder alle Werte parat hat, richtig? Also welcher User angemeldet ist usw...
Meinstens wird diese Session-ID doch mit GET im Link übertragen, oder? Also Klartext!?
Wäre es denn hierbei nicht für subversive Subjekte relativ einfach, eine Session-ID aus irgendeinem Link einfach abzufischen und unter dieser Session-ID dann einfach weiter zu arbeiten, bzw. Daten zu klauen, manipulieren, löschen, etc.?
Danke im Voraus,
Duftox
Comment