backendsession daten speicherung

[michael@maurer-it.com]

hallo
ich habe das problem das meine backenduser immer wieder backendlinks bsp. https://servername.company.com/contenid ... b69c3a1969
per mail verschicken, was zur folge hat das sich der empfänger mit dem backenduser des senders im backend einloggen kann.
das es nicht sinnvoll ist das zu tun ist mir klar, habe ich auch weitergegeben aber es wird trotzdem gemacht.

wie kann ich verhindern das die session info im link gültig ist wenn der link von einem anderen user in den browser eingegeben wird?
uawg michael pilz

[emergence]

ne einfach möglichkeit das zu bewerkstelligen kenne ich nicht...

eine möglichkeit die ich für sinnvoll halte:
die ip des clients in der session beim ersten login speichern...
bei jedem aufruf kontrollieren ob sich die gespeicherte ip mit der des clients deckt... falls nicht -> logout

ansatz punkt conlib/local.php

[Dodger77]

eine möglichkeit die ich für sinnvoll halte:
die ip des clients in der session beim ersten login speichern...
bei jedem aufruf kontrollieren ob sich die gespeicherte ip mit der des clients deckt... falls nicht -> logout

Damit wird man aber einige Nutzer aussperren:

http://www.php-faq.de/q/q-sessions-ip.html

[stroke]

Helfen würde auf Sessions in der URL zu verzichten und mit Cookies zu arbeiten.

EDIT: Was zwar auch nicht der brüller ist, aber wenigstens etwas hilft wäre, wenn du in der Session User Agent und Accept Language des Clients speicherst und diese vergleichst. Allerdings dürften sich auch diese beiden Werte nicht unbedingt oft unterscheiden bei Windowstandardinstallationen...

[emergence]

okay das mit der ip wäre doch nicht so ne gut idee...

hmm... auf cookies umstellen

conlib/local.php

findet man bei
class Contenido_Session extends Session

Code: Alles auswählen

var $mode = "get";

ersetzt man das get durch cookie sollte das backend an sich cookies verwenden...
in wie weit das backend dabei fehlerfrei läuft, kann ich aber nicht sagen...