JayEff - Mi 10.10.07 02:43
Titel: sid=zahl verschwindet?

---

Ich habe vorhin in ein Topic eine URL posten wollen, deren PHP-Script den parameter "sid" als Artikel-ID-Übergabevariable benutzt. Beim posten der URL ging "sid=zahl" verloren.
Hier der Link und zugleich ein Test, ob der Fehler im IE ebenso auftritt:
http://www.valki.com/article.php?
lg Jan
Edit: Fehler tritt auch im IE auf.
(Fast, als wäre sid auf der Schimpfwortliste :lol: )
Edit2: Unnötige Leerzeilen beim Editieren entdeckt :shock:
Edit3: Leerzeilen bleiben. "sid istgleich 261" verschwindet andauernd.
Edit4: Leerzeilen vervielfachen sich, "sid istgleich beliebige zahl" wird zensiert. (Leerzeilen ein IE + InlineEdit bug? Version ist IE 6.0.2800

jaenicke - Mi 10.10.07 04:25
Titel: Re: sid=zahl verschwindet?

---

Das ist soweit ich weiß korrekt und erwünscht so, da eine sid in einer geposteten URL ein potentielles Sicherheitsrisiko darstellt. Wenn jetzt jemand bei einem Skript einen anderen Parameter aus Unkenntnis sid nennt, dann ist das Pech.

JayEff hat folgendes geschrieben:

Edit4: Leerzeilen vervielfachen sich, "sid istgleich beliebige zahl" wird zensiert. (Leerzeilen ein IE + InlineEdit bug? Version ist IE 6.0.2800

Das ist bereits bekannt: http://www.delphi-forum.de/topic_Unerwuenschte+leerzeilen+bei+Inline+Edit_76902.html

Christian S. - Mi 10.10.07 10:53

---

Hallo!

Das mit den Leerzeilen ist bereits bekannt.

Dass die SID entfernt ist, ist völlig korrekt und so gewollt. Eine Session-ID führt nur zu Problemen, wenn sie von jemanden angeklickt wird, dessen Session das nicht ist. Daher entfernen wir sie.

Grüße
Christian

JayEff - Mi 10.10.07 16:32

---

Ich wurde falsch verstanden. die Sid ist in diesem Fall keine session ID (wobei ich mir das gedacht habe) sondern der Parameter der benutzt wird, um zu erkennen, welche Seite aufgerufen wurde. Mag von mir aus unsauberes Coding sein, aber ich finde, die Forensoftware sollte nicht automatisch ein "sid" als "session ID" annehmen. Könnte doch auch "seiten ID" bedeuten? Ich meine, wenn ich nun einen informativen Link posten will wie den obigen, muss ich immer dazu schreiben, dass man "sid istgleich zahl" anfügen muss um zur von mir empfohlenen Seite zu kommen.

Heiko - Mi 10.10.07 17:47

---

Das mag korrekt sein, dass die sid nicht immer die Abkürzung von "Session-ID" ist. Auf 99% der Websiten ist es aber der Fall, von daher finde ich es richtig, wenn es so gehandhabt wird, da es vor allem Sicherheitsgründe hat. Wenn z.B. eine Seite Cookie-los ist, also nur über sids gehandhabt wird und du dann einen Link von der Seite kopierst und in ein Forum stellst, besteht die Möglichkeit, dass einer deinen Account übernimmt, solange du nocht nicht ausgeloggt bist. Bei guten Softwaren wird dann immerhin noch die IP also Security-ID in der Seiten-DB gespeichert, um nur noch Angriffe aus internen Netzen (wo der Server nicht mehr zwischen den Rechnern unterschieden kann) zu "ermöglichen". Und ein zweiter Grund ist, dass sids normalerweise zeitlich beschränkt sind, sie also nur für eine Session gültig sind und somit später keine Rolle mehr spielen - da ist es gut, wenn die nicht rausgenommen werden (schon alleine wegen der lesbarkeit ;) ).

Insgesamt halte ich die paar Sonderfälle damit als nicht gerechtfertigt für einen Sicherheitsabbau ;)