PHPSESSID: Problem mit php Session ID (Sicherheitslücke durch Link-Login?)

**lennart** · 23.12.2008, 16:42

Das ist ein generelles Problem von Sessions. Cookies kannst du theoretisch genau so "stehlen".

Binde die Session an eine IP. Sprich: Speicher die IP mit der die Session gestartet wurde in die Session und gleiche bei jedem Seitenaufruf die IP der Anfrage mit der in der Session gespeicherter IP ab. Wenn die IPs ungleich sind kannst du einfach ein session_destroy() machen.
Bedenke, dass die Session dann auch abläuft wenn sich die IP des Users ändert. Der muss sich dann also einmal neu einloggen.

Das mal ganz generell. Die SID aus der URL zu entfernen ist aber zusätzlich auch nicht so verkehrt. Da müsste ich jetzt aber auch gerade googlen.

**jmc** · 23.12.2008, 17:09

Du kannst das eigentlich nicht verhindern, wenn es aus Absicht geschieht, ausser wie gesagt die Session an die IP zu binden und das lohnt sich nicht und ist ausserdem zu aufwendig.

Du solltest wie du bereits selbst vorgeschlagen hast Cookies benutzen, denn dann passiert es wenigstens nicht mehr aus versehen. Die Sessions kannst du ja auch noch zeitlich etwas stärker begrenzen, damm spööte doe Socjerjeit wohl ausreichend sein.

**goth** · 23.12.2008, 17:44

Und was manchen dann die ganzen armen AOL Surfer? Die haben bei fast jedem Zugriff 'ne andere IP.

Den Cookie kann man zumindest nicht so einfach stehlen. Zumindest nicht indem man eine Seite verlinkt.

**Chrissi007** · 23.12.2008, 17:50

Hi,

Danke euch soweit für die Informationen.

Dieser Datenbankvergleichscheck ist für mich mehr eine Notfall-Lösung. Einerseits ist es wieder eine Datenbankanfrage mehr, und wenn ich recht überlege ist dann auch kein Auto-Login mehr möglich... vermutlich ...

in den php.net comments bin ich gerade über folgenden Eintrag gestoplert:

Try this code snippet, from a book by a security expert who says this is more secure to place on every page:

PHP-Code:


<?php 

session_start(); 

$_SESSION['name'] = "YourSession"; 



if (!isset($_SESSION['initiated'])) 

{ 

    session_regenerate_id(); 

    $_SESSION['initiated'] = true; 

} 

?>

Ich hab das gerade intensiv getestet und muss sagen, dass es eigentlich keinen Wert hat - zumindest für meinen Zweck.
Sobald eine $_GET['sid']-Session-ID in der URL übergeben wurde, dann wurden mit ihr versteckt auch sämtliche anderen Session Variablen, die zu dieser Session gehören ebenfalls angelegt. So auch das $_SESSION['initiated'].

Gibt es wirklich nur den Datenbankvergleichscheck und nicht noch eine andere Methode? Ich meine, dass man doch anders auch lösen könnte, oder?

EDIT: Weil noch mal die Sache mit den Cookies angesprochen wurde: Ich arbeite schon mit Cookies, allerdings nur zum Speichern der Autologin Funktion. Meint ihr, dass ich den Username, etc. erst gar nicht in einer Session speichern soll (z.B. $_SESSION['username'], $_SESSION['user_id']), sondern diese Werte alle direkt im Cookie ablege?
Das würde aber doch bedeuten, dass ich insgesamt in der gesamten Onlineplattform keine einzige $_SESSION-Variable benutzen dürfte, oder?

**combie** · 23.12.2008, 18:41

session.use_trans_sid abschalten dürfte das einfachste sein.
Ansonsten evtl. hier mal nachlesen: http://phpforum.de/forum/showthread.php?t=216531

**jmc** · 23.12.2008, 18:48

Wenn du willst, dass es möglich ist, dass der User eingeloggt bleibt (über längere Zeit) ist das bei Webbrowsern mit HTML-PHP nur mit Cookies oder der URL möglich und die URL wäre zu umständlich.
Das Cookie könnte dann aber auch von allen geklaut werden.
Das würde aber bedeuten, dass jemand Zugriff zum PC mit dem Cookie haben müsste.
Wenn du diese Funktion bereit stellen willst, dann wird dieses Problem so oder so bestehen.

Ich empfehle dir aber nicht alle diese Userdaten lokal zu speichern, denn da können sie leicht verändert werden. Die GET-Daten zu bearbeiten ist beinahe gleich einfach wie die Cookie-Daten.

Wie gesagt in deinem Fall lohnt sich das mit der IP nicht und wie goth erwähnt hat wirst du damit eher User verärgern. Ausserdem was machst du wenn plötzlich einer die IP eines anderen Users hätte?... Nicht sehr wahscheinlich, aber es ist den Aufwand nicht wert da etwas mit PHP zu machen.

Die Sessions in Cookies zu speichern wird sogar an weit heikleren Orten gemacht als bei deinem Beispiel. Z.B. bei e-Banking.

Den Sinn dieses Snippets alleine sehe ich ehrlich gesagt nicht ein, denn die alte Session wird hier nicht einmal gelöscht. Wenn schon, dann müsstest du session_regenerate_id(true); verwenden und das mit $_SESSION['initiated'] weglassen, denn das macht keinen Sinn.
Also einfach

PHP-Code:


session_start();

session_regenerate_id(true);

**combie** · 23.12.2008, 18:51

Dauerlogin und Sessions sind 2 völlig verschiedene paar Schuh!
Für beides sind allerdings Cookies die beste und wohl sicherste Wahl.

**Koala** · 23.12.2008, 20:22

es gilt eben auch zu beachten,
daß der Schaden bei feindlicher Übernahme einer
Session gering gehalten wird.
So sollte das PW nicht in der Session gespeichert werdem
und grundlegende Änderungen des Accounts wie das
Ändern der Userdaten sollten mit einer erneuten PW-Eingabe
verbunden sein.

**PHP-Desaster** · 23.12.2008, 23:45

So sollte das PW nicht in der Session gespeichert werdem

Klar kannst du das, solltest es eben nur nirgendwo ausgeben

**combie** · 23.12.2008, 23:56

Warum das Passwort in Session speichern?
Sehe keinen Grund.

Ausser, du möchtest ein evtl installiertes RootKit
(oder Domainnachbar) mit wichtigen Informationen versorgen.

**PHP-Desaster** · 24.12.2008, 00:31

Warum das Passwort in Session speichern?
Sehe keinen Grund.

Das wäre natürlich die zweite Frage

Aber ich meine sensible Daten generell. Ob nun in der Session oder der Datenbank, ich sehe da kein Problem, solange du sie halt nirgends ausgibst, dann kommt auch kein Schuft dran.

**combie** · 24.12.2008, 01:02

Hmmm...
Tut weh, aber ich sags trotzdem:
Es gibt nur einen einzigen Grund ein Passwort zu speichern, "Um den User wieder zu erkennen."
Dann aber bitte in der DB oder in einer Datei mit allen anderen Usern. Und aber auch dann NUR als gesalzener Hashwert.
In Session ist das Passwort auf jeden Fall über...
In Session UND in der DB wäre redundant.

Aber andererseits hast du auch recht!
Man MUSS der DB und $_SESSION vertrauen können.
Sonst haben wir PHPler verloren.

**PHP-Desaster** · 24.12.2008, 01:39

Es gibt nur einen einzigen Grund ein Passwort zu speichern, "Um den User wieder zu erkennen."
Dann aber bitte in der DB oder in einer Datei mit allen anderen Usern. Und aber auch dann NUR als gesalzener Hashwert.

Das ist mir klar. Darum gehts mir aber auch nicht.

Man MUSS der DB und $_SESSION vertrauen können.

Genau so ist es, darauf habe ich abgezielt.

**Chrissi007** · 24.12.2008, 15:30

Hi,

Vielen Dank und frohe Weihnachten allen! Ihr habt mir sehr weitergeholfen. Wenn ich noch mal was genaueres zu dem Thema habe meld ich mich. Klasse Community hier *lob*.

PHPSESSID: Problem mit php Session ID (Sicherheitslücke durch Link-Login?)