sicherheitsrisiko: use_trans_sid ? - Seite 2

Potassium · 31.08.2004, 18:06

1.) woher nehm ich die HTTP.php
2.) wie bau ich die redirect.php ein
3.) kann ich die sessions nicht anders validieren?

käptn · 31.08.2004, 18:41

1.) http://pear.php.net/package/HTTP
2.) WCM
3.) wäh?

~

Potassium · 31.08.2004, 19:11

Zitat:

Original geschrieben von käptn
1.) http://pear.php.net/package/HTTP
2.) WCM
3.) wäh?

~

asooooooooo nun check ich erst welchen referer du meinst

dachte zuerst den AUF meine seite (also von einer andren)

im prinzip macht dieses script nix außer einen http-location header zu senden oder?

btw: ich prüf die sesssion nun bei jedem seitenaufruf auf IP, User Agent und ob sie noch nicht abgelaufen ist.
schlägt ein check fail, wird die session gelöscht und eine neue erstellt.

käptn · 31.08.2004, 20:02

Es gibt Provider, die ändern die Client-IP sekündlich...

~

Potassium · 31.08.2004, 20:08

Zitat:

Original geschrieben von käptn
Es gibt Provider, die ändern die Client-IP sekündlich...

~

??????????
was?
wieso das?
afaik prüfen aber die "großen" foren wie phpBB und vBulletin die sessions ebenfalls mittles IP.
was passiert in den foren mit solchen benutzern?

Potassium · 31.08.2004, 20:40

ich verzweilfe noch

irgendwie muss hinter dem pear script doch mehr stecken als ein header().
nur was genau macht es aus, dass der referer nicht mit gesendet wird?

Potassium · 01.09.2004, 02:33

so ich bin jetzt beinahe 10 stunden dran gesessen.
wenn die sessionid nicht folgende 3 checks erfolgreich absolviert, wird dem benutzer eine neue sessionid zugewisen. somit wird die aktuelle nicht beschädigt, und der nutzer hat trotzdem keinen zugriff auf die session:
1.) IP-Check
2.) User-Agent-Check
3.) "Ablauf"-Check d.h. wenn die session seit einer bestimmten zeit nicht "aufgefrischt" wurde ist sie undültig und wird zerstört.

das einzige was nun noch fehlt is der referer *ächz*

flocky · 01.09.2004, 03:25

Zitat:

Original geschrieben von Potassium
3.) "Ablauf"-Check d.h. wenn die session seit einer bestimmten zeit nicht "aufgefrischt" wurde ist sie undültig und wird zerstört.

freue mich ein primitives wenn auch effektives kontribut zu der problemstellung geleistet zu haben

Potassium · 01.09.2004, 23:00

hab jetzt folgenden check:

Code:

if($_SESSION['Expire'] < time() or $_SESSION['User_IP'] != $IP or $_SESSION['Agent'] != $_SERVER['HTTP_USER_AGENT'] or  checkreferer() != True){		
		session_write_close();
		session_start();		
		logout();
		
		$_SESSION['Expire'] = time() + $config['Session_Length'];
		$_SESSION['User_IP'] = $IP;
		$_SESSION['Agent'] = $_SERVER['HTTP_USER_AGENT'];			
}

logout() löscht die ganzen session vars.
checkreferer():

Code:

function checkreferer(){	
	if(isset($_SERVER['HTTP_REFERER'])){
		$referer = parse_url($_SERVER['HTTP_REFERER']);
		if($referer['host'] != $_SERVER['HTTP_HOST']){			
			return FALSE;
		}
		else{
			return TRUE;
		}
	}
	else{
		return TRUE;
	}
}

reicht das?

Potassium · 02.09.2004, 20:51

kann mir bitte jemand erklären was der "zaubertrick" in dem http-pear-script ist, dass der referer nicht mitgesendet wird?
ich schnalls einfach ned.......

31.08.2004, 18:41	#12
käptn Inventar Registriert seit: 04.11.2001 Alter: 45 Beiträge: 2.150	1.) http://pear.php.net/package/HTTP 2.) WCM 3.) wäh? ~ ____________________________________ LOL - Mein erstes Post im Programmier Forum MACINTOSH - Most Applications Crash, If Not The Operating System Hangs

31.08.2004, 20:02	#14
käptn Inventar Registriert seit: 04.11.2001 Alter: 45 Beiträge: 2.150	Es gibt Provider, die ändern die Client-IP sekündlich... ~ ____________________________________ LOL - Mein erstes Post im Programmier Forum MACINTOSH - Most Applications Crash, If Not The Operating System Hangs

31.08.2004, 18:06	#11
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	1.) woher nehm ich die HTTP.php 2.) wie bau ich die redirect.php ein 3.) kann ich die sessions nicht anders validieren?

31.08.2004, 20:40	#16
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	ich verzweilfe noch irgendwie muss hinter dem pear script doch mehr stecken als ein header(). nur was genau macht es aus, dass der referer nicht mit gesendet wird?

01.09.2004, 02:33	#17
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	so ich bin jetzt beinahe 10 stunden dran gesessen. wenn die sessionid nicht folgende 3 checks erfolgreich absolviert, wird dem benutzer eine neue sessionid zugewisen. somit wird die aktuelle nicht beschädigt, und der nutzer hat trotzdem keinen zugriff auf die session: 1.) IP-Check 2.) User-Agent-Check 3.) "Ablauf"-Check d.h. wenn die session seit einer bestimmten zeit nicht "aufgefrischt" wurde ist sie undültig und wird zerstört. das einzige was nun noch fehlt is der referer ächz

02.09.2004, 20:51	#20
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	kann mir bitte jemand erklären was der "zaubertrick" in dem http-pear-script ist, dass der referer nicht mitgesendet wird? ich schnalls einfach ned.......

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)