WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > Internet

Internet Rat & Tat bei Internetproblemen

Microsoft KARRIERECAMPUS

Antwort
 
Themen-Optionen Ansicht
Alt 30.08.2004, 18:41   #1
Potassium
Inventar
 
Registriert seit: 06.03.2003
Alter: 37
Beiträge: 3.954

Mein Computer

Frage sicherheitsrisiko: use_trans_sid ?

servus
ich hab mal ne frage.
wie hoch stuft ihr das sicherheitsrisiko ein, wenn man session.use_trans_sid bei php aktiviert hat?
ich bräuchte es damit man sich auch einloggen kann wenn man keine cookies akzeptiert.
was meint ihr, risikiere ich da viel?
Potassium ist offline   Mit Zitat antworten
Alt 30.08.2004, 19:28   #2
Sloter
Inventar
 
Registriert seit: 05.01.2000
Beiträge: 3.812


Standard

Also ich würde eher den Weg gehen, die ID in eine DB zu schreiben und von dort auszulesen für die Weiterverarbeitung.
Die Session bleibt sonst ewig am Leben

Bin mal gespannt, was die Profis meinen

Sloter
Sloter ist offline   Mit Zitat antworten
Alt 30.08.2004, 19:42   #3
Potassium
Inventar
 
Registriert seit: 06.03.2003
Alter: 37
Beiträge: 3.954

Mein Computer

Standard

Zitat:
Original geschrieben von Sloter
Also ich würde eher den Weg gehen, die ID in eine DB zu schreiben und von dort auszulesen für die Weiterverarbeitung.
Die Session bleibt sonst ewig am Leben

Bin mal gespannt, was die Profis meinen

Sloter
wenn du mir verräts wie ich die sessionid vom browser OHNE cookie zum server schicke dann gerne.
mir fällt dazu aber keine (einfache) lösung ein.
Potassium ist offline   Mit Zitat antworten
Alt 31.08.2004, 10:09   #4
Sloter
Inventar
 
Registriert seit: 05.01.2000
Beiträge: 3.812


Standard

Es gibt 2 Systeme, also auch 2 Sessions. Man programmiert nun entweder eine Pipe, wo alle Daten verschlüsselt per GET (bis 1024Byte) oder POST (je nach Einstellung am Server) übergeben werden. Oder man legt alle Daten in einer Datenbank ab und übergibt nur die Session-ID, welche bei jedem Datensatz mitgespeichert wird. Die Session-ID verschlüsselt man z.B. mit RSA und schon ist es sicher.

Sloter
Sloter ist offline   Mit Zitat antworten
Alt 31.08.2004, 12:16   #5
Potassium
Inventar
 
Registriert seit: 06.03.2003
Alter: 37
Beiträge: 3.954

Mein Computer

Standard

das wäre das drumherum nur mein prob is wie sende ich die id immer per get mit? und zwar nur dann, wenn der client KEINE cookies nimmt, da anonsten die sessionid eh mit dem cookie gesendet wird.
Potassium ist offline   Mit Zitat antworten
Alt 31.08.2004, 14:44   #6
käptn
Inventar
 
Registriert seit: 04.11.2001
Alter: 45
Beiträge: 2.150


Standard

Das kommt ganz darauf an...

Bei einem Forum ist es sicher nicht so tragisch wie bei einem WebShop oder WebMailer.

Worauf man achten sollte:

Nach dem Login die Session-ID mit session_regenerate_id() neu erzeugen.

Externe Links über ein Redirect-Script laufen lassen, welches die Session-ID "schluckt".

Bleibt immer noch die Möglichkeit, dass der User die URL einfach aus der Adresszeile kopiert.

Wie kann man jetzt sicherstellen, dass die Session dem Benutzer gehört, der sie aufruft?

... gar nicht.

Ein Check des User-Agents ist sogar verlässlicher als die IP...

Soll es wirklich sicher sein, wirst du um SSL nicht herum können.

Ob unser alkalischer Freund die Session-Daten jetzt in der DB speichert oder nicht, ist eher Geschmackssache, da sich dabei höchstens Spionage am Server etwas eindämmen läßt.

~
____________________________________
LOL - Mein erstes Post im Programmier Forum

MACINTOSH - Most Applications Crash, If Not The Operating System Hangs
käptn ist offline   Mit Zitat antworten
Alt 31.08.2004, 14:56   #7
Potassium
Inventar
 
Registriert seit: 06.03.2003
Alter: 37
Beiträge: 3.954

Mein Computer

Standard

session_regenarte_id() muss ich ausprobieren klingt aber gut
ad externe links:
ich weiß nicht was du genau meinst aber bei mir haben externe links keine session_id drangehängt.

user agent ist doch nur ne agabe über den browser oder?

ajo und es wird kein webshop sondern ich möcht nur verhindern, dass jemand ohne größere schwierigkeiten admin-rechte etc auf meiner seite erwirbt.
Potassium ist offline   Mit Zitat antworten
Alt 31.08.2004, 15:36   #8
käptn
Inventar
 
Registriert seit: 04.11.2001
Alter: 45
Beiträge: 2.150


Standard

Zitat:
Original geschrieben von Potassium
ad externe links:
ich weiß nicht was du genau meinst aber bei mir haben externe links keine session_id drangehängt.
...aber der Refer(r)er

~
____________________________________
LOL - Mein erstes Post im Programmier Forum

MACINTOSH - Most Applications Crash, If Not The Operating System Hangs
käptn ist offline   Mit Zitat antworten
Alt 31.08.2004, 15:43   #9
Potassium
Inventar
 
Registriert seit: 06.03.2003
Alter: 37
Beiträge: 3.954

Mein Computer

Standard

Zitat:
Original geschrieben von käptn
...aber der Refer(r)er

~
ajo.
und wie kann ich ausm referer was entfernen?
bzw wie genau wird mir der gefährlich?
Potassium ist offline   Mit Zitat antworten
Alt 31.08.2004, 16:00   #10
käptn
Inventar
 
Registriert seit: 04.11.2001
Alter: 45
Beiträge: 2.150


Standard

Sieh dir mal eine Apache AccessLog Datei an.

redirect.php
PHP-Code:
<?php
require_once 'HTTP.php';

if (isset(
$_GET['PHPSESSID']))
    
HTTP::redirect('?url='urlencode($_GET['url']));

HTTP::redirect($_GET['url']);
?>
~
____________________________________
LOL - Mein erstes Post im Programmier Forum

MACINTOSH - Most Applications Crash, If Not The Operating System Hangs
käptn ist offline   Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 19:17 Uhr.


Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag