[chrigu]

Hallo zusammen,
Kann mir jemand sagen, wie ich zuverlässig erkennen kann, ob ein Benutzer Cookies akzeptiert oder nicht?
Es geht mir darum, dass ich zwingend Session-Cookies verwenden will.

Gruss,
Chrigu

[Homepagespeicher]

Vielleicht steht es in der Info über den Useragent, bin mir da aber nicht sicher.
Falls nicht versuchst Du einfach den Cookie zu setzen und liest ihn später aus, wenn er dann nicht da ist akzeptiert der user wohl keine Cookies.

Zitat:

Es geht mir darum, dass ich zwingend Session-Cookies verwenden will.

Für diesen Fall wäre vl. auch ein Hinweis für den Benutzer angebracht das die Seite nur mit Cookies funktioniert.

[Jann Hendrik]

ich wüßte auch nicht, wie man das anders lösen kann, außer dem direkten Test.

Cookie setzen. Versuchen auszulesen. fertig.


Wobei ich gleich anmerken möchte, dass du dir gut überlegen solltest, ob die Seite wirklich nut _mit_ Cookies nutzbar ist!

[chrigu]

Zitat:

Zitat von Homepagespeicher

Vielleicht steht es in der Info über den Useragent, bin mir da aber nicht sicher.
Falls nicht versuchst Du einfach den Cookie zu setzen und liest ihn später aus, wenn er dann nicht da ist akzeptiert der user wohl keine Cookies.

Habe es jetzt mit zwei Browsern getestet, kein Erfolg..
Ich habe jetzt mal die Option session.use_only_cookies angeschaut, würde im Prinzip machen was ich will. Es werden nur Sessions mit Cookies verwendet.
Nur müsste ich beim session_start abfangen können, ob diese wirklich gestartet wurde. Problem: session_start gibt immer true zurück, auch wenn keine Session erstellt wurde (weil eben Cookies deaktiviert sind).

Zitat:

Zitat von Homepagespeicher

Für diesen Fall wäre vl. auch ein Hinweis für den Benutzer angebracht das die Seite nur mit Cookies funktioniert.

Ja klar, mache ich sowieso..
Es wäre aber eben elegant, wenn ich den Benutzer direkt darauf hinweisen könnte, dass er Cookies deaktiviert hat.

Gruss,
Chrigu

[dsxs]

Gibt es einen bestimmten Grund, dass du nur Cookie-Sessions haben möchtest?

[CIX88]

Zitat:

ob ein Benutzer Cookies akzeptiert oder nicht

Wenn es ein Session-Cookie ist vielleicht:
if ( !$_COOKIE['PHPSESSID'] ) { etc... }

[chrigu]

Der Benutzer muss so oder so Session-Cookies verwenden, da unsere Single Sign-On Lösung (Shibboleth) nur mit diesen läuft..
Somit möchte ich ihm nur Ärger abnehmen und ihn warnen, da er spätestens bei der Authentifizierung hängen bleibt!
Ok, ich werde es mit dem Test-Cookie machen.

Gruss,
Chrigu

[Jann Hendrik]

worin liegt das Problem?
Ich sehe die Sache derzeit so:

Entweder der user akzeptiert Cookies, dann wird die SessionID dort hinterlegt. Wenn nicht, dann wird sie als Parameter angehängt, um eine Identifizierung zu ermöglichen.

Was daran verstehe ich falsch, dass es bei dir so nicht klappt? Oder ggf. anders: warum willst du das so nicht verwenden?

[chrigu]

Zitat:

Zitat von Jann Hendrik

Entweder der user akzeptiert Cookies, dann wird die SessionID dort hinterlegt. Wenn nicht, dann wird sie als Parameter angehängt, um eine Identifizierung zu ermöglichen.

Genau. Nur ist das anfällig gegen Angriffe. Was passiert wenn ein Benutzer einen Link schickt, und darin ist seine SessionID hinterlegt?
Klickst du den Link, übernimmst du doch die Session, sofern diese noch existiert?

Zitat:

Zitat von Jann Hendrik

Was daran verstehe ich falsch, dass es bei dir so nicht klappt? Oder ggf. anders: warum willst du das so nicht verwenden?

Weil wir eine Single Sing-On Lösung verwenden, die explizit Cookies verwendet! -> http://shibboleth.internet2.edu/

Gruss,
Chrigu

[dsxs]

Irgendjemand hat mir vor einiger Zeit hier im Forum den Tipp mit session_regenerate_id() gegeben. Daraus und mit vielen anderen Dingen habe ich mir eine Session Klasse zusammengebaut, welche nach vielen Tests sehr sicher gegen Session-Hyjacking und dergleichen zu sein scheint - funktioniert sowohl mit trans_sids wie auch mit Cookies. Also dass trans-sids unsicher sind, das stimmt überhaupt nicht.. es kommt darauf an, was du damit machst.

[chrigu]

Zitat:

Zitat von dsxs

Irgendjemand hat mir vor einiger Zeit hier im Forum den Tipp mit session_regenerate_id() gegeben. Daraus und mit vielen anderen Dingen habe ich mir eine Session Klasse zusammengebaut, welche nach vielen Tests sehr sicher gegen Session-Hyjacking und dergleichen zu sein scheint - funktioniert sowohl mit trans_sids wie auch mit Cookies. Also dass trans-sids unsicher sind, das stimmt überhaupt nicht.. es kommt darauf an, was du damit machst.

Aber genau der Fall, den ich oben geschildert habe, kann eintreten!?
Oder der Benutzer surft weiter und auf der nächsten Seite wird der Refere ausgelesen und daraus auch die SessionID.
Wie schützt du dich dagegen?

Gruss,
Chrigu

[Ben]

Hier mal der angesprochene Thread:
http://www.developers-guide.net/forums/showthread.php?t=4058

[chrigu]

Zitat:

Zitat von Ben

Hier mal der angesprochene Thread:
http://www.developers-guide.net/forums/showthread.php?t=4058

Danke für den Link.
Somit erneuerst du (dsxs) bei jedem Aufruf die SessionID mit session_regenerate_id?
Trotzdem bleibt das Problem, dass ein Angriff über den Refere klappen würde?

Gruss,
Chrigu

[Basti]

Zitat:

Zitat von chrigu

Somit erneuerst du (dsxs) bei jedem Aufruf die SessionID mit session_regenerate_id?
Trotzdem bleibt das Problem, dass ein Angriff über den Refere klappen würde?

Nein, das würde dann nicht klappen. Aber die Idee, die SID bei jedem Request zu ändern ist an sich schon ziemlich ... grenzwertig. Hab den hier verlinkten Thread gerade ergänzt.

Basti

[chrigu]

Zitat:

Zitat von Basti

Nein, das würde dann nicht klappen.

Warum? Wenn ich den Benutzer mit einem manipulierten Link auf meine Seite locke, sehe ich im Referer die SSID und kann die Session übernehmen?!

Zitat:

Zitat von Basti

Aber die Idee, die SID bei jedem Request zu ändern ist an sich schon ziemlich ... grenzwertig. Hab den hier verlinkten Thread gerade ergänzt.

Ah stimmt, daran habe ich nicht gedacht!

Gruss,
Chrigu

[Basti]

Zitat:

Zitat von chrigu

Zitat:

Warum? Wenn ich den Benutzer mit einem manipulierten Link auf meine Seite locke, sehe ich im Referer die SSID und kann die Session übernehmen?!

Na eben, weil da jede "Session-ID" (ist ja dann mehr eine Challenge- oder Request-ID) ja nur einmal gültig wäre. Wenn du jemandem deine verbrauchten TANs durchgibst, kann er damit ja auch nichts anfangen.

Basti

[chrigu]

Zitat:

Zitat von Basti

Na eben, weil da jede "Session-ID" (ist ja dann mehr eine Challenge- oder Request-ID) ja nur einmal gültig wäre. Wenn du jemandem deine verbrauchten TANs durchgibst, kann er damit ja auch nichts anfangen.

Ok, wir reden aneinander vorbei.
Ich meine, wenn der Benutzer auf meine gefälschte Seite kommt, so wird seine Session-ID nicht erneuert, ich habe also die aktuelle. Vorausgesetzt natürlich, dass der Benutzer in der Zwischenzeit nicht auf die originale Seite zurückkehrt.

Gruss,
Chrigu

[Basti]

Keine Ahnung, wovon du sprichst. Mein Kommentar bezug sich auf das unsinnige session_regenerate_id() bei jedem Request, anstatt nur beim Start der Session und bei jedem Statuswechsel.

Basti