Tweet
security mit session?
Ich suche Infos zum Thema security mit php4 ( Session ). Hat jemand ein paar infos für mich?
thanks
thanks
-
php-Entwicklung | ebiz-consult.de
PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
die PHP Marktplatz-Software | ebiz-trader.de
-
Kannst du das etwas konkretisieren..? -
hi sky,
ich will mich näher mit Thema "Sicherhiet im Internet" beschäftigen. Aus diesem Grund suche ich weiterführende Artikel zum diesem Thema.
hast du was dazu? Links, Büchtip etc.
gruss
berni
php-Entwicklung | ebiz-consult.de
PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
die PHP Marktplatz-Software | ebiz-trader.de
Kommentar
-
Nichts allgemeines - ich kann dir nur Fragen beantworten, die ein spezielles Thema betreffen.Kommentar
-
gut
wo siehst du die schwachpunkte bei sessions?
wo die stärken?
danke
php-Entwicklung | ebiz-consult.de
PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
die PHP Marktplatz-Software | ebiz-trader.de
Kommentar
-
Also der zentrale Punkt bei Sessions ist ja bekanntlich die SID, welche bekanntlich entweder per Cookie auf dem Clientrechner gespeichert werden oder per Link in der Form script.php?SID=$SID übergeben werden.
Das Sicherheitsproblem, das bei der Übergabe per Link sofort auffällt, ist natürlich die Sache mit dem Referer (GMX hatte einmal ein ähnliches Problem). Externe Seiten, zu denen von einer Session-Seite aus gelinkt wird, können durch den HTTP-Referer ganz einfach an eine gültige Session-ID des Benutzers kommen.
Diese Sache kann aber bekanntlich recht einfach mit einem De-Referer Script gelöst werden.
Bei der Speichermethode mit Cookies liegt die Sicherheit natürlich auf Clientseite - ein installierter Trojaner kann hier schnell an eine SID kommen, genauso jemand, der die aktuelle Sicherheitslücke bzgl. Cookies des IE 5.5 und 6.0 kennt (vorausgesetzt der Benutzer hat seinen IE nicht gepatcht, was jedoch wohl recht oft der Fall ist).
Generell kann ich sagen, dass ich Sessions als sehr komfortables und auch recht sicheres Werkzeug einschätze.Kommentar
-
Cool!! Danke
was ist das De-Referer Script? was macht es?Diese Sache kann aber bekanntlich recht einfach mit einem De-Referer Script gelöst werden.
php-Entwicklung | ebiz-consult.de
PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
die PHP Marktplatz-Software | ebiz-trader.de
Kommentar
-
Ein De-Referer Script soll einfach den HTTP-Referer auf seinen Namen setzen. Beispiel:
Es sei
links.php?SID=blub
<a href="http://externe.seite/">Link</a>
--> Sehr unsicher, da der HTTP-Referer mit SID an die externe Seite weitergegeben wird
links.php?SID=blub
<a href="derefer.php?link=http://externe.seite/">Link</a>
derefer.php
<meta http-equiv="refresh" content="0; URL=<?=$link?>">
--> Sicher, da der HTTP-Referer nun auf das derefer-Script verweist (an dieses Script natürlich auf keinen Fall die SID mit übergeben!).
Anmerkung: Ich würde hier nicht mit header("Location: $link") arbeiten, da diese Direktive ja eigentlich nur den aktuellen Standort des Dokuments angibt und somit der HTTP-Referer u.U. immer noch die Seite mit der SID enthält.Kommentar
Kommentar