Wie sicher sind eigentlich Sessions

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Wie sicher sind eigentlich Sessions

    Hi!

    Ich bastel gerade an einem kleinen Accountmanagement und da ich Loginnamen und Password nicht nur beim eigentlich Login brauche, sondern auch ein paar Seiten weiter für ein paar andere Dinge, bin ich am überlegen, die Daten als Sessionvariablen zu speichern.

    Ist das aus sicherheitstechnischen Gründen vertretbar? Mit normalen Cookies würde ich das nicht machen, da die vielleicht ein dritter zufällig auslesen könnte. Sessionvariablen gelten ja nur solange der Browser geöffnet ist. Oder kann man da trotzdem noch recht einfach drankommen?


    Bis denne...

    Carsten

  • #2
    neine, Sessionvariable werden auf dem Server gespeichern
    ich denke das ist wohl die sicherste methode

    php-Entwicklung | ebiz-consult.de
    PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
    die PHP Marktplatz-Software | ebiz-trader.de

    Kommentar


    • #3
      Hi,

      bei vertraulichen Anwendungen, wie z.B. online banking, werden die sessions , verschlüsselt und ge-hashed, d.h. eine serverseitige Wertepaarzuweisung erfolgt. Zusetzlich werden die Verbindungen mit SSLv3 gesichert.

      90% aller PHP-Entwickler gehen mit sessions recht fahrlässig um, etwa eindrittel verschüsselt die Cookies nicht mal, die DB reletante Info#s enthalten - ein Fest für jeden Kiddy-Hacker.

      cu

      Blaster
      Yuppi, endlich Elite ...

      Kommentar


      • #4
        @Blaster: machmal wundere ich mich echt über Dich ... woher nimmst du den Quatsch immer den du da erzählst ... die PHP-Sessions haben nicht die Bohne was mit 'DB relevanten Info's' zu tun ... wenn sich ein Entwickler sein eigenes Session-Management bastelt und dabei entsprechend fahrlässig vorgeht ... bitte ... aber in dieser Frage ging es ja wohl um die integrierten PHP-Sessions!!!

        Das wirkt recht albern für jemanden der sonst altklug von 'Middle/Multi-Tier' Anwendungen erzählt!
        carpe noctem

        [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
        [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

        Kommentar


        • #5
          Wenn Du eine Session erzeugst, die *auf dem Server* mit einer Tabelle verknüpfst, die Benutzernamen und Passwort enthält, ist das m.E. so sicher, wie Du es mit vertretbarem Aufwand machen kannst. Die Logindaten dürfen auf keinen Fall im Browser des Anwenders landen, auch nicht als temporäre Cookies. Das Cookie, das an den Browser geht, sollte ausschliesslich eine 10-oder mehrstellige Session-ID enthalten. Damit ist das Hack-Risiko darauf minimiert, dass man während der Session den Browser des Benutzers ausspäht.

          Kommentar


          • #6
            Vielen Dank für die ganzen Infos! Damit kann ich gut was anfangen.


            Bis denne...

            Carsten

            Kommentar


            • #7
              @goth:

              Glaub mir, ich weiß wovon ich rede ... und würdest Du aufhören hinter mir her zu kaspern . - Danke!
              Yuppi, endlich Elite ...

              Kommentar


              • #8
                @Blaster: Es sei nur mal kurz die Frage erlaubt, wieso man die Session-Cookies verschlüsseln sollte, da steht ja sowieso nur die Session-ID drin (es sollte jedenfalls so sein), und die bekommt man ja auch übers http-Protokoll raus.

                Also ich für meinen Teil halte die Sessions so sicher, wie das darunterliegende Protokoll/Verfahren, da man ja die Zugangsdaten auch schon beim Senden an den Server abfangen könnte.

                Kommentar


                • #9

                  @Blaster: Das glaube ich manchmal eben nicht ... ich kasper nur hinter Dir her wenn du vor mir her kasperst ... aber glaube mir: Du bist nicht das Zentrum der Welt!
                  carpe noctem

                  [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                  [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                  Kommentar


                  • #10
                    @bohni:

                    Jupp! Beantwortest Du die Frage nicht selbst?! Die Session-ID ist der Schlüssel zum serverseitigen 'Session-Array'. Kann mittels Sniffer im HTTP Protokoll gelesen werden. So! Jetzt allozierst Du mal, dass z.B. ungehashed eine Bedingungsabfrage für SQL die 'serverseitig' weggespeichert wird, wie Konto-Nr. od. PIN. Und e´vola der Hacker ist ohne Authentikation im Stream einfach über die Session-ID. Glückwunsch!

                    Aber zugegeben - pekka hat recht, für wen lohnt sich ein solcher Aufwand schon. Ich wollte ja nur expitzit auf dieses Sicherheitsloch hinweisen, weil danach gefragt.

                    Daten gelten als sicher, wenn:

                    1) Der betriebene Aufwand den Nutzen über steigt.
                    2) Der Zeitwand zum Cracken die Wertdauer der Infomation überdauert.

                    William Stallings - "Sicherheit im Internet"
                    ISBN 3-8273-1697-9 ca. 50 €
                    Yuppi, endlich Elite ...

                    Kommentar


                    • #11
                      Ich fasse es nicht

                      Ich bin doch mal gespannt aus welchem Grunde man Deine 7.000 mal verschlüsselte und (wieder einmal bin ich glücklich) gehashte SessionID nicht mit sniffen kann ...

                      Das einzige was nachvollziehbar ist die Verschlüsselung via SSL ... alles Andere ist ja wohl Tinnef!

                      Da empfielt es sich eher, nachdem eine Session erstellt wurde, die RemoteIP zu speichern und diese bei jedem reopen gegenzuprüfen!
                      carpe noctem

                      [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
                      [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

                      Kommentar

                      Lädt...
                      X