Sicherheitsproblem?

Bei einigen links wird die session id mitgeben

wenn man die session id eines anderen benutzers hat könnte man damit sich in sein konto einloggen und was weiß ich alles anstellen

finde das ist eine kritische sicherheitslücke, dass die session id per get an die url angehängt wird

kann man das nicht ändern
______________
Video Portal Unplugged
Neues Gewinnspiel #1
Neues Gewinnspiel #2

Was für ein Gerücht ^^

Mit der SessionID kann man sich nur einloggen, wenn keine interne IP-Sperre vorhanden ist.
Zur Session ID wird aber die IP mitgespeichert.

Nur, wenn die SessionId zu der IP passt, mit der man sich eingeloggt hat, gilt man als eingeloggt.
Und das Loginverfahren geht auch nicht nur über die GET-Information der SessionID, sondern dafür gilt nur das Cookie.

Mit der SessionID allein kann also nicht viel angefangen werden.
______________

hm also hab mal im cookie geguckt da steht ziemlich viel drin

weiß ja nicht was bei dieser session id alles gespeichert wird
______________
Video Portal Unplugged
Neues Gewinnspiel #1
Neues Gewinnspiel #2

Wie gesagt, mit der Session Id kann man hier nicht viel anfangen, da man sich auch normal einloggen muss.
Die Wiedererkennung, wenn man eingeloggt bleiben möchte, funktioniert nur mit den cookies, da spielt die Session ID im Link keine Rolle. Keine Cookies, nur ID > Keine Wiedererkennung.

Also kein Fehler, der behoben werden muss - wären jetzt meist nurnoch optische Gründe ^^
______________

die cookies kann ich ja eben bearbeiten und auch auf nem anderne pc benutzen
wozu gibt es sonst die developer tools für ff?
______________
Video Portal Unplugged
Neues Gewinnspiel #1
Neues Gewinnspiel #2