Hallo,
warum wird an den Logoutlink die uid und die sid angehängt? Kann man dies nicht über die Cookies auslesen? Welchen Sicherheitsgrund gibt es dafür?
Das schützt davor, dass "böse" Javascripts jemanden abmelden können. Nur wenn man selber auf den Link mit diesen Daten klickt, wird man abgemeldet.
Heißt in PHP ausgedrückt?
Wird die angehängte sid und uid mit den Cookies überprüft? Oder was läuft da genau ab?
Beim Abmelden wird das Cookie gelöscht, was den Login speichert.
Natürlich wird vorher überprüft, ob die SID zur Session passt und ob die UID zum aktuellen Benutzer gehört.
Ok, und die sid und uid bekommt er nur über den Link? Warum nicht über das Cookie?
Wie sieht da genau die Gefahr aus?
Ich frage, weil ich gerade mein Sessionsystem überarbeite und dort nun die Frage ist, wie ich den Logoutvorgang absichern kann.
Was nützt es die uid und sid im Cokkie UND im Link zu haben? Wo kann Javascript da angreifen und wie?