ich denke wir werden in die MyOOS Version im Februar, eine kleine Erweiterung
gegen Session Hijacking einbauen.
Basis
http://it-republik.de/php/news/5-Practi ... 46535.html
Wir werden Tocken verwenden
http://www.serversidemagazine.com/php/p ... rf-attacks
Code: Alles auswählen
$token = md5(uniqid(rand(), true));
Code: Alles auswählen
$_SESSION['token] = $token;
Code: Alles auswählen
if ( (!empty($_SESSION['token])) && (!empty($_POST['token])) ) {
if ($_SESSION['token] == $_POST['token]) {
//process the form
}
}
Ein Timeout, wir auf der Seite beschrieben
http://www.serversidemagazine.com/php/p ... rf-attacks
möchte ich zurzeit nicht in das Projekt übernehmen.
In der nächsten MyOOS Version 1.7.12 haben wir bereits einige weitere Werkezeuge (Informationen)
zur Verhinderung von Session Hijacking eingebaut.
Argumente und weitere Vorschläge sind willkommen
cu
ralf