WCM Forum
Seite 2 von 2 < 1 2
40 Beiträge dieses Themas auf einer Seite anzeigen

WCM Forum (http://www.wcm.at/forum/index.php)
-   Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)
-   -   sicherheitsrisiko: use_trans_sid ? (http://www.wcm.at/forum/showthread.php?t=143404)

Potassium 31.08.2004 18:06
1.) woher nehm ich die HTTP.php
2.) wie bau ich die redirect.php ein
3.) kann ich die sessions nicht anders validieren?

käptn 31.08.2004 18:41
1.) http://pear.php.net/package/HTTP
2.) WCM
3.) wäh? :)

~

Potassium 31.08.2004 19:11
Zitat:
Original geschrieben von käptn
1.) http://pear.php.net/package/HTTP
2.) WCM
3.) wäh? :)

~
asooooooooo nun check ich erst welchen referer du meinst :lol:
dachte zuerst den AUF meine seite (also von einer andren):confused:
im prinzip macht dieses script nix außer einen http-location header zu senden oder?

btw: ich prüf die sesssion nun bei jedem seitenaufruf auf IP, User Agent und ob sie noch nicht abgelaufen ist.
schlägt ein check fail, wird die session gelöscht und eine neue erstellt.

käptn 31.08.2004 20:02
Es gibt Provider, die ändern die Client-IP sekündlich...

~

Potassium 31.08.2004 20:08
Zitat:
Original geschrieben von käptn
Es gibt Provider, die ändern die Client-IP sekündlich...

~
??????????
was?
wieso das?
afaik prüfen aber die "großen" foren wie phpBB und vBulletin die sessions ebenfalls mittles IP.
was passiert in den foren mit solchen benutzern?

Potassium 31.08.2004 20:40
ich verzweilfe noch :(
irgendwie muss hinter dem pear script doch mehr stecken als ein header().
nur was genau macht es aus, dass der referer nicht mit gesendet wird?

Potassium 01.09.2004 02:33
so ich bin jetzt beinahe 10 stunden dran gesessen.
wenn die sessionid nicht folgende 3 checks erfolgreich absolviert, wird dem benutzer eine neue sessionid zugewisen. somit wird die aktuelle nicht beschädigt, und der nutzer hat trotzdem keinen zugriff auf die session:
1.) IP-Check
2.) User-Agent-Check
3.) "Ablauf"-Check d.h. wenn die session seit einer bestimmten zeit nicht "aufgefrischt" wurde ist sie undültig und wird zerstört.

das einzige was nun noch fehlt is der referer *ächz*:eek:

flocky 01.09.2004 03:25
Zitat:
Original geschrieben von Potassium
3.) "Ablauf"-Check d.h. wenn die session seit einer bestimmten zeit nicht "aufgefrischt" wurde ist sie undültig und wird zerstört.
freue mich ein primitives wenn auch effektives kontribut zu der problemstellung geleistet zu haben :D

Potassium 01.09.2004 23:00
hab jetzt folgenden check:
Code:
if($_SESSION['Expire'] < time() or $_SESSION['User_IP'] != $IP or $_SESSION['Agent'] != $_SERVER['HTTP_USER_AGENT'] or  checkreferer() != True){               
                session_write_close();
                session_start();               
                logout();
               
                $_SESSION['Expire'] = time() + $config['Session_Length'];
                $_SESSION['User_IP'] = $IP;
                $_SESSION['Agent'] = $_SERVER['HTTP_USER_AGENT'];                       
}
logout() löscht die ganzen session vars.
checkreferer():
Code:
function checkreferer(){       
        if(isset($_SERVER['HTTP_REFERER'])){
                $referer = parse_url($_SERVER['HTTP_REFERER']);
                if($referer['host'] != $_SERVER['HTTP_HOST']){                       
                        return FALSE;
                }
                else{
                        return TRUE;
                }
        }
        else{
                return TRUE;
        }
}
reicht das?

Potassium 02.09.2004 20:51
kann mir bitte jemand erklären was der "zaubertrick" in dem http-pear-script ist, dass der referer nicht mitgesendet wird?
ich schnalls einfach ned.......


Alle Zeitangaben in WEZ +2. Es ist jetzt 02:00 Uhr.
Seite 2 von 2 < 1 2
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag