zurück zur Startseite
  


Zurück XHTMLforum > (X)HTML und CSS > (X)HTML
Seite neu laden Formular mit Sessions nicht XHTML strict

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 21.08.2004, 18:42
Neuer Benutzer
neuer user
Thread-Ersteller
 
Registriert seit: 21.08.2004
Beiträge: 3
Beni befindet sich auf einem aufstrebenden Ast
Standard Formular mit Sessions nicht XHTML strict

Hallo,

ich habe das Problem, dass bei einer Session immer die Session-ID automatisch in einem hidden-Tag direkt hinter dem Form-Tag eingefügt wird.

Allerdings nicht durch z.B. P-Tag eingeschlossen. Somit meckert dann der Validator.

Ich habe folgendes ohne Erfolg ausprobiert:
-Selbst ein hidden-Tag mit der PHPSESSID eingefügt
-ini_set("session.use_trans_sid",0); eingefügt

Wie kann man denn das Problem dennoch umschiffen?!
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 21.08.2004, 19:03
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 02.06.2003
Beiträge: 2.441
ulle befindet sich auf einem aufstrebenden Ast
Standard

Da der ini_set nicht zieht

Falls Du eine .htaccess einsetzen kannst:

php_value session.use_trans_sid 0
__________________
</ulle>
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 21.08.2004, 19:27
Neuer Benutzer
neuer user
Thread-Ersteller
 
Registriert seit: 21.08.2004
Beiträge: 3
Beni befindet sich auf einem aufstrebenden Ast
Standard

Danke Ulle,

ich habe in der Zwischenzeit noch etwas anderes gefunden:

Code:
<? ini_set("url_rewriter.tags",""); ?>
mehr dazu: http://martin.f2o.org/php/session

Dann hat der Validator das akzeptiert...[/url]
Mit Zitat antworten
  #4 (permalink)  
Alt 27.09.2004, 04:00
Erfahrener Benutzer
XHTMLforum-Mitglied
 
Registriert seit: 24.05.2004
Beiträge: 275
dexter befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von ulle
Falls Du eine .htaccess einsetzen kannst:

php_value session.use_trans_sid 0
Thx auch von mir, hab mir ewig lange Dokus reingezogen, auch einen mehrseitigen Thread hier, den ich jetzt auf keinen Fall raussuchen möchte und nun die Lösung so einfach.
Ähm, ganz dumm gefragt: was macht dieser Eintrag konkret?
__________________
Du bist so dumm, Dich kann man auf 2 Disketten abspeichern.
Mit Zitat antworten
  #5 (permalink)  
Alt 27.09.2004, 10:37
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 02.06.2003
Beiträge: 2.441
ulle befindet sich auf einem aufstrebenden Ast
Standard

Code:
php_value session.use_trans_sid 0
in der .htaccess (httpd.conf) überschreibt die Einstellungen in der PHP-INI
Code:
; trans sid support is disabled by default.
; Use of trans sid may risk your users security. 
; Use this option with caution.
; - User may send URL contains active session ID
;   to other person via. email/irc/etc.
; - URL that contains active session ID may be stored
;   in publically accessible computer.
; - User may access your site with the same session ID
;   always using URL stored in browser's history or bookmarks.

session.use_trans_sid = 1 ;(aktiviert, bei mir nur im Beispiel !!!!)
Zitat:
Zitat von PHP-Handbuch
Sessions und Sicherheit

Das Session-Modul bietet keine Garantie dafür, dass Informationen, die Sie in einer Session speichern, nur vom Benutzer gesehen werden können, der die Session erzeugt hat. Sie müssen zusätzliche Maßnahmen ergreifen, um die Integrität der Session ihrer Wichtigkeit entsprechend angemessen aktiv zu schützen.

Schätzen Sie die Wichtigkeit der Daten ab, die in Ihren Sessions transportiert werden und treffen Sie zusätzliche Schutzmaßnahmen -- in der Regel bezahlen Sie dafür mit einer geringeren Benutzerfreundlichkeit. Wenn Sie z.B. Benutzer vor einfachen Social Engineering Tactics (Anm. des Übersetzers: Techniken der Ausnutzung menschlicher Schwächen) schützen wollen, müssen Sie session.use_only_cookies aktivieren. Cookies müssen dann benutzerseitig auf jeden Fall aktiviert sein, weil Sessions sonst nicht funktionieren.

Es gibt mehrere Wege, über die eine Sessio-ID an Dritte gelangen kann. Eine entführte Session-ID ermöglicht diesen, auf alle Daten zuzugreifen, die mit dieser Session-ID verbunden sind. Erstens sind das URLs, die Session-IDs enthalten. Wenn Sie auf eine externe Site verweisen, könnte die URL inklusive Session-ID in den Referrer-Logs der externen Site gespeichert werden. Zweitens kann ein aktiverer Angreifer Ihren Netzwerkverkehr abhören. Falls Ihr Netzwerkverkehr nicht verschlüsselt ist, werden Session-IDs im Klartext über das Netzwerk übertragen. Hier ist die Lösung, auf Ihrem Server SSL zu implementieren und die Verwendung für Ihre Benutzer obligatorisch zu machen.


_______________________________________
session.use_trans_sid (boolean)

session.use_trans_sid bestimmt ob transparente SID-Unterstützung aktiviert ist oder nicht. Grundeinstellung 0 (deaktiviert).

Anmerkung: In PHP 4.1.2 oder darunter wird sie durch compilieren mit --enable-trans-sid aktiviert. Ab PHP 4.2.0 ist das Feature trans-sid immer eincompiliert.

URL-basiertes Session-Management hat im Vergleich zu Cookie-basiertem Session-Management zusätzliche Sicherheitsrisiken. Benutzer können zum Beispiel eine URL, die eine aktive Session-ID enthält, per Email an Freunde schicken oder in ihren Bookmarks speichern und immer mit der selben Session-ID auf Ihre Seite zugreifen.

http://www.php.net/manual/de/ref.session.php
weitere Info aus dem entsprechenden Fach-Forum http://www.php.de/forum/viewtopic.php?t=16919
__________________
</ulle>
Mit Zitat antworten
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
html 4.01 >> XHTML tupamaro (X)HTML 9 30.09.2012 20:32
Formular unter XHTML 1.0 Strict SPMan (X)HTML 57 12.07.2007 18:40
XHTML 1.0 Transitional VS. Strict Despairing (X)HTML 24 07.06.2006 21:07
XHTML 1.1 oder XHTML 1.0 strict verwenden laborix (X)HTML 2 11.12.2005 21:10
XHTML 1.0 strict und input in formular Heavenfighter (X)HTML 5 10.08.2004 11:48


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:51 Uhr.