Ich baue gerade mein eigenes Login-Skript und habe festgestellt, dass die meisten die Session-ID oder ähnliches an die Logout-Seite als get-Variable anhängen.Warum melden sich PHP-Anmeldeskripte mit der GET ID ab?
Warum machen sie das?
Ist es nicht nur sicher/einfacher, nur die Sitzung in logout.php zu zerstören und keine ID weiterzugeben?
Ich kann mir keinen Grund vorstellen, warum sie nur beim Abmelden einen get param hinzufügen müssten.
Hinzufügen eines Token zu einer URL kann verwendet werden, um prevent abuse oder wenn die Session-ID der URL hinzugefügt wird, um die Sitzung auch arbeiten zu lassen, wenn Cookies auf der Client-Seite verteilt werden.
aktualisieren
Vom linked article:
zeigt jedoch eine Schnellansicht der Datei eine ziemlich interessante Frage. Es erfordert, dass die beim Anmelden berechnete Signatur dem Benutzer zur Übermittlung auf der Anmeldeseite vorgelegt wird. Vermutlich wurde dies als eine Form des CSRF-Schutzes getan. Es gibt jedoch auch die Daten verloren, die notwendig sind, um eine Sitzung an den Benutzer zu übernehmen. So kommen wir zu unserem 11. Verwundbarkeit bisher:
UPDATE2
Ich habe ircmaxell in chat gefragt. Und es ist wegen CSRF-Schutz.
Beispiel wäre derjenige, den dieser Typ prüft: - http://blog.ircmaxell.com/2011/08/security-review -creating-secure-php.html –
@StephenAdrianRathbone Er ist in [Chat] (http://chat.stackoverflow.com/rooms/11/php) im Leerlauf, also warum gehst du nicht direkt zur Quelle :) – PeeHaa
Sind Sie sicher, dass sie es nur beim Abmelden tun? Die meisten Websites hängen sessid an die get-Anfrage an, um sicherzustellen, dass die Sitzung des Benutzers in den Fällen fortbesteht, in denen sie Cookies deaktiviert oder nicht erlaubt haben. –
Wenn es sich nicht nur um die Abmeldeseite handelt, sondern um alle Seiten, wird eine Maßnahme ergriffen, um die Cross-Site-Fälschungsrisiken zu verringern. Erfahren Sie mehr darüber hier: http://en.wikipedia.org/wiki/Cross-site_request_forgery – Sahand