sessionsystem

naja php macht das ja automatisch mit der session über cookie oder halt link...
mfg

Kannst du doch selber beeinflussen, wie das übergeben wird. Ist ja nicht so die große Kunst.

@ciruZ
Wenn ich mir die Beiträge so durchlese ist im pbb ein Session System welches genauso arbeitet wie das von PHP. Warum also ein eigenes schreiben?? Das wird mir immer noch nicht klar.

Die Systeme die ich kenne und ein eigenes Session System integriert haben, nutzen es um die höchstmögliche Sicherheit zu gewährleisten und überprüfen Daten wie IP, Browser usw., direkt bei der Abfrage, aber soetwas gibts ja scheinbar bei dir nicht.

Du hattest angesprochen das es mit Proxys Probleme geben kann. Dazu möchte ich nur anmerken das die meisten Proxy Server die korrekte IP übergeben, und zwar in der Variable $_SERVER['HTTP_X_FORWARDED_FOR'] und ich behaupte jetzt einfach mal das die meisten Benutzer die Proxys ihres Hosters nutzen und wenn jemand schon nen anonymen Proxy nutzen muss, ist er entweder paranoid oder hat etwas ausgefressen, und so einen möchte man ja nicht unbdingt als Nutzer haben.

Ach ja, ich hätte gern ein paar Bugs im PHP Session System genannt, da du sie ja schon mehrmals erwähnt hast wirst du sie ja kennen.

Ähm, ich glaub ich bin zu blöd dazu, aber ich finde in keinem deiner Beiträge die Nennung eines Bugs.

Das einzige was entfernte Ähnlichkeit mit einem Bug hat ist das Phänomen das man selbst bestimmen kann wie die SID lauten soll. Das dieses Verhalten aber so korrekt ist habe ich ja bereits erläutert. Denn auch wenn "abc" ein wenig kurz ist, ist es doch eine korrekte SID.

Das mit dem Browser war nur ein beispiel, denn dies habe ich jetzt schon öfter in Session Systemen gesehen.

Konfigurationssache. PHP hat seit Version 4.0.0 die Funktion session_save_path() integriert. Im übrigen kann der Server Admin jeden Benutzer ein Extra Verzeichnis zuweisen. Confixx macht es vor.

Genauso könnte er Serveradmin aber jeden Benutzer den Zugriff auf jede DB geben.

verdammt. Das hellsehen muss man PHP in der Tat noch beibringen, das ist wirklich ein Security Bug.

Woher soll PHP wissen ob ein Browser Cookies annimmt oder nicht wenn es das nicht probiert??

beispiele??

Aber dann setzt er doch ein cookie auch wenn der Browser keine annimmt, ich denke das willst du nicht.

Und auch wieder antworte ich: Konfigurationssache.

Du kannst PHP so konfigurieren das er genau das gewünschte Verhalten aufweist.

Man aktiviere dazu nur: session.use_trans_sid

Das sollte dr Coder mitdenken und die Werte selbst an eine URL anfügen, anders macht man es bei einem eigenen System ja auch nicht.

Seit PHP3 gibt es get_cfg_var() mit dem man Überprüfen kann wie php konfiguriert ist.

Das mag sein, aber um mal auf die eigentliche Frage zurückzukommen: Was für Security Bugs??

Dann zähl sie bitte nochmal auf

Hab ich doch glatt mal gemacht und den Bug Tracker durchsucht, und es gab tatsächlich mal einen wirklichen Security Bug in PHP (nicht das was du dafür hälst, die tauchen aber auch oft auf). Dieser wurde aber nach der Beta 2 von PHP 4 gefixed.

Also,

ich frage mich jetzt eines. Wenn in deine Augen Fehler in älteren PHP Versionen bereits ein Kriterium sind um ein eigenes Sessionsystem zu programmieren, wie gehst du dann mit anderen Sicherheitslücken eines Webservers um?

Abgesehen davon, wer sagt das dein Sessionsystem sicherer ist. Sofern dein Forum irgendwann als Download verfügbar sein wird, finden sich auch dort Sicherheitslücken.

Weil diese Version schon seit laaaangem veraltet ist, wie gesagt, es war die Beta 2 von PHP4, und das Webhoster immer darauf bedacht sind ihren Benutzern eine möglichst aktuelle Version zu bieten, dürfte diese nicht mehr im Einsatz sein.

Und was war in späteren Versionen?? Du sagst immer, es war was, es ist was drin, nun nenn doch endlich mal etwas. Ansonsten bestätigst du nur meine Meinung, das du eine Rechtvertigung für ein eigenes Session System brauchst, und es in deinem fall keinen wirklichen grund dafür gibt.

Dem entnehme ich du kennst keine Security Bugs im PHP Session System, denn um die Nennung derer drückst du dich ja schon die ganze Zeit. Mehr wollte ich gar nicht wissen.

Du hast übrigends vergessen auf die Frage von reimer zu antworten.

wiw?
also ich benutzt das php session sys und muss sagen das ich keine probleme damit habe..
mfg

Wer ist wo

öhm trottel ich *gg*
hab das doch selber bei mir eingebaut *gg*
mfg

Also jetzt möchte ich auch (nocheinmal) etwas dazu sagen:
Ich finde das PHP Sessionsystem mehr als ausreichend und es bedeckt auch fast alle meine Wünsche die ich an dieses stelle.
Von Securitybugs mag ich da nicht reden, wie ciruZ.

Für ein größeres Projekt, wie z.B. meine Forensoftware, werde ich aber auch mein eigenes Sessionsystem programmieren, ich sehe dort den Sinne drinne zwei Fliegen mit einer Klappe zu schlagen. Ein eigenes Sessionsystem hat auch gegenüber dem vom PHP Vorteile, dass man nicht auf spezifische Funktionen (z.B. ini) von PHP zugreifen muss, die vielleicht vom Webhoster deaktiviert wurden.

Für kleinere Projekte wie z.B. an der Ramsau Page wo ich gerade drann arbeite und ein komplett eigenes kleines Forum programmiere, reicht mir das PHP Sessionsystem.

Ob ein Forum wirklich ein eigenes Sessionsystem braucht lasse ich mal dahingestellt.

Was aber unprofessionel ist, sich auf Security Bugs zu beziehen die es nicht gibt, bzw. von dem es nur einen in der betaphase von PHP4 gab (eine Version die nie für den produktiven Einsatz freigegeben wurde).

Ich selber habe auch ein eigenes Session System integriert. Dies habe ich getan um spezielle Überprüfungen auf die Zugehörigkeit eines Users zu ermöglichen, und dann direkt von Fall zu Fall zu entscheiden was zu tun ist. Würde mir das PHP Session System es ermöglichen noch vor dem öffnen einer Session die Zugehörigkeit eines Benutzers zu überprüfen. Könnte ich mir sogar vorstellen es einzusetzen. Dem ist aber nicht so.

In der Art ja.

Wie gesagt will ich die entsprechenden Daten aber prüfen bevor die Session geöffnet wurde.

Wäre eine Möglichkeit, jedoch bietet mir PHP in diesem Fall erst ab Version 4.3.2 die passenden Werkzeuge, und da man wie du ja sicherlich weißt auch an die älteren Versionen denken muss, lasse ich es lieber.

Im übrigen ist bei mir die Überprüfung direkt im Query eingebettet, sodass rein theoretisch verschiedene User die gleiche SID haben könnten, die Session jedoch andere Daten enthält.

Das glaube ich ehrlich gesagt nicht.

MySQL wurde speziell darauf ausgerichtet Große Datenmengen zu verwalten und die richtigen (oder gar keine) zu liefern. Haben die richtigen Spalten einen Index sollte es rein theoretisch genauso schnell, vielleicht sogar schneller sein als wenn ich alle Ergebnisse einer SID hole und jeweils überprüfe. (Nicht vergessen, mehrere User können bei mir die gleiche SID haben, theoretisch zumindest )

Allerdings wäre dazu ein Benchmark nötig, deswegen macht es eigentlich keinen Sinn sich über den Punkt zu streiten.

Ich verwende für mein kleines billig-Forum auch ein eigenes Session-System... allerdings im Prinzip noch ohne sid (zum entwickeln reichen mir Cookies...).

Vorteil ist klar... man kann Useronline-List usw. direkt mit einbinden. Das geht mit PHP nicht...

Ausserdem ist mein einziger Versuch das zu verwenden gründlich in die Hose gegangen... (nach drei Klicks war die Session gelöscht...)