Was ist eine PHP Session?
Eine Session (deutsch „Sitzung“) speichert beim Besuch mehrerer Webseiten verschiedene Informationen in Variablen ab. Die Session hat eine ID, die zwischen Client und Server getauscht wird, und Inhalt. Die Session-ID wird dabei üblicherweise in einem Cookie gespeichert, der Cookie-Name ist in der Regel „PHPSESSID“. Die Speicherung der Aktionen erfolgt auf einer Seite, zum Beispiel von der Anmeldung bis zur Abmeldung. Die Anwendung kann die Benutzer so eindeutig identifizieren. Ihre Gültigkeit verliert die Session spätestens beim Schließen des Browsers. Im PHP-Code wird eine Session mit dem Aufruf der Funktion session_start() gestartet.
Welche Gefahren gibt es?
Angreifer können eine gültige Session entführen, die Angriffsmethode wird Session Hijacking genannt. Zum Beispiel ist der Cookie veränderbar, der die Session-ID speichert, und kann durch einen Angreifer geändert werden. Bei Erfolg übernimmt der Cyberkriminelle die Identität des Opfers und nutzt die Webanwendung in dessen Namen.
Wie lässt sich die PHP Session schützen?
In der Regel beendet die Webanwendung eine Session automatisch nach einem bestimmten Zeitintervall ohne Aktivität des Anwenders. Beim Onlinebanking sehen Kunden daher teilweise einen Timer auf der Website, der herunterläuft. Wenn die Zeit abläuft, verfällt die Session. Klickt der Anwender auf einen Link, beginn der Timer erneut. Bei diesem Vorgehen steht die Sicherheit der Daten vor dem Bedienkomfort.