Session hijacking, wie dagegen vorgehen?

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Session hijacking, wie dagegen vorgehen?

    Hallo zusammen,

    ja das genannte Thema sollte wohl besser keiner unter den Tisch kehren, der Seiten im Netz hat und mit Sessions arbeitet.

    Meine Frage an die Profis unter euch ist daher, auch wenn mir klar ist das es keinen 100%igen Schutz gibt, wie man das erschwert, möglichst verhindert?

    Mein Gedankenansatz hierzu geht in die Richtung, das ich zu überprüfende Daten auf dem Rechner des Benutzers ablege, in Form eines Cookies.

    Sprich die Session-ID ist ja witzlos, da diese in der Session steht.
    Nun war mein Gedanke, zur Session-ID eine weitere ID zu generieren, welche beim Login in einem Cookie abgelegt wird und in der DB gespeichert wird.
    Bei jedem Seitenaufruf nun überprüfen ob ein Cookie mit der korrekten ID vorhanden ist, ansonsten User zwangsweise ausloggen.

    Ist dieser Ansatz sinnvoll? Bringt das was oder habt ihr eventuell bessere Ideen?

    Ansätze wie z.b. IP-Adresse speichern fallen gleich weg, da es ja auch AOL User gibt, bei denen sich die IP Adresse ständig ändert.

    Mit der Hoffnung auf gute Ideen von den Fachmännern hier,

    Darky
    - Carpe Noctem -
    Stichworte: -
  • #2
    nein, wenn jemand meine sid klauen kann, wird er auch das cookie klauen können (wenn auch nicht immer), insofern ist es falsch, auch nur irgendwas wichtiges (außer der sid) in einem cookie abzulegen.

    Kommentar

    • #3
      Hi,

      ja gut, also bringt mich diese Idee mit dem Cookie auch nicht wirklich weiter, bleibt die Frage offen -> wie machen?

      Es muss doch sinnvoll Wege geben, eine gewisse Sicherheit dagegen einbauen zu können.

      Darky
      - Carpe Noctem -

      Kommentar

      • #4
        nicht wirklich. du kannst infos über den user sammeln, angefangen mit REMOTE_ADDR, USER_AGENT etc., bis hin zu js-ermittelten oberflächlichkeiten und sie alle speichern oder zumindest hashen, in der hoffnung, dass die wahrscheinlichkeit einer wiederholung sinkt. völlig ausschließen kannst du sie aber afaik nicht.

        die sicherheit auf der client-seite kann z.g.t. nur der administrator des client-netzwerkes stark verbessern.

        Kommentar

        • #5
          Ich denke der beste Weg ist es schon die SessionID in 'ne Cookie zu packen und nicht via URL zu transferieren ... letzteres ist ja die Primäre Hijacking Lücke, da SessionID's die in einer URL stehen in diversen Protokollen (Proxy, Serverlogs als Referer) auftauchen ... bei jeder anderen Methode ... die beispielsweise Netztraffic sniffed ... wirst Du wenig Chancen haben ...

          Du kannst natürlich in der Session auch noch 'ne IP speichern ... und diese beim Zugriff vergleichen ... aber neben der Möglichkeit das die Telekom irgendwann die IP's austauscht ... wirst Du auch wenig Freude mit AOL und Konsorten haben, die Ihre User letztlich über (ständig wechselnde) Proxys surfen lassen ... !
          carpe noctem

          [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
          [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

          Kommentar

          Vorherige template Weiter
          Lädt...
          X