security mit session?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • security mit session?

    Ich suche Infos zum Thema security mit php4 ( Session ). Hat jemand ein paar infos für mich?

    thanks

    php-Entwicklung | ebiz-consult.de
    PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
    die PHP Marktplatz-Software | ebiz-trader.de

  • #2
    Kannst du das etwas konkretisieren..?

    CAT Music Files

    Kommentar


    • #3
      hi sky,

      ich will mich näher mit Thema "Sicherhiet im Internet" beschäftigen. Aus diesem Grund suche ich weiterführende Artikel zum diesem Thema.

      hast du was dazu? Links, Büchtip etc.

      gruss
      berni

      php-Entwicklung | ebiz-consult.de
      PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
      die PHP Marktplatz-Software | ebiz-trader.de

      Kommentar


      • #4
        Nichts allgemeines - ich kann dir nur Fragen beantworten, die ein spezielles Thema betreffen.

        CAT Music Files

        Kommentar


        • #5
          gut

          wo siehst du die schwachpunkte bei sessions?
          wo die stärken?

          danke

          php-Entwicklung | ebiz-consult.de
          PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
          die PHP Marktplatz-Software | ebiz-trader.de

          Kommentar


          • #6
            Also der zentrale Punkt bei Sessions ist ja bekanntlich die SID, welche bekanntlich entweder per Cookie auf dem Clientrechner gespeichert werden oder per Link in der Form script.php?SID=$SID übergeben werden.

            Das Sicherheitsproblem, das bei der Übergabe per Link sofort auffällt, ist natürlich die Sache mit dem Referer (GMX hatte einmal ein ähnliches Problem). Externe Seiten, zu denen von einer Session-Seite aus gelinkt wird, können durch den HTTP-Referer ganz einfach an eine gültige Session-ID des Benutzers kommen.
            Diese Sache kann aber bekanntlich recht einfach mit einem De-Referer Script gelöst werden.

            Bei der Speichermethode mit Cookies liegt die Sicherheit natürlich auf Clientseite - ein installierter Trojaner kann hier schnell an eine SID kommen, genauso jemand, der die aktuelle Sicherheitslücke bzgl. Cookies des IE 5.5 und 6.0 kennt (vorausgesetzt der Benutzer hat seinen IE nicht gepatcht, was jedoch wohl recht oft der Fall ist).

            Generell kann ich sagen, dass ich Sessions als sehr komfortables und auch recht sicheres Werkzeug einschätze.

            CAT Music Files

            Kommentar


            • #7
              Cool!! Danke

              Diese Sache kann aber bekanntlich recht einfach mit einem De-Referer Script gelöst werden.
              was ist das De-Referer Script? was macht es?


              php-Entwicklung | ebiz-consult.de
              PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
              die PHP Marktplatz-Software | ebiz-trader.de

              Kommentar


              • #8
                Ein De-Referer Script soll einfach den HTTP-Referer auf seinen Namen setzen. Beispiel:

                Es sei

                links.php?SID=blub
                <a href="http://externe.seite/">Link</a>

                --> Sehr unsicher, da der HTTP-Referer mit SID an die externe Seite weitergegeben wird

                links.php?SID=blub
                <a href="derefer.php?link=http://externe.seite/">Link</a>

                derefer.php
                <meta http-equiv="refresh" content="0; URL=<?=$link?>">

                --> Sicher, da der HTTP-Referer nun auf das derefer-Script verweist (an dieses Script natürlich auf keinen Fall die SID mit übergeben!).

                Anmerkung: Ich würde hier nicht mit header("Location: $link") arbeiten, da diese Direktive ja eigentlich nur den aktuellen Standort des Dokuments angibt und somit der HTTP-Referer u.U. immer noch die Seite mit der SID enthält.

                CAT Music Files

                Kommentar

                Lädt...
                X