Hi,

ich habe eine sehr spezielle Frage, auf die ich in diesem Archiv trotz
Recherche keine Antwort finden konnte:

Klar, weil die Frage nicht allgemein beantwortbar ist.

Hab ich ein Problem, wenn ich Daten mit HTTP über SSL (mit 128 bit)
verschlüssele, aber eine Session-ID mit URL-Rewriting einsetze, welche ja
in der URL prinzipiell lesbar ist (Referer,zwischengeschaltete Server,etc.)?

Kommt darauf an, wie du die Session-IDs erstellst und verwaltest.
Siehe unten.

Etwas konkreter:

Reicht es aus, während der Gültigkeitsdauer der Session-ID, diese
mitzuschneiden und wieder einzuspielen, um in die Sitzung einzubrechen, und
sich als der ursprüngliche Nutzer auszugeben ? Oder greift hier auch noch
die SSL-Verschlüsselung zwischen Client und Server - diese Kommunikation
habe ich ja damit nicht gebrochen, oder ?

Die Uebertragung ist nach jeder einzelnen Seite, nach jedem Formsubmit beendet/abgebrochen.
Eben deswegen benutzt durch doch Session-IDs.
Damit du den User beim nächsten Aufruf gleich wiedererkennst.

Sprich, bewirke ich durch Erzeugen von neuen Datenpaketen und der so
"gewonnenen" Session-ID sinnvolle Daten oder aufgrund der
HTTPS-Verschlüsselung nur Datenmüll ?

Die HTTPS-Verschluesselung hat nichts mit deinen Session-IDs zu tun!

Die Verschluessung ist nur das was es heisst: Eine Verschluesselung.
Auf dem Web vom Client zum Server bekommt jemand, der die Verbindung abhoert nur Datenmüll zu sehen.
Egeal ob es Session-IDs sind oder reale Namen und Daten.

Die Session-Id benutzt du bei einer Transaktion in der regel für was anedres. Naemlich zum Beispiel bei einer Benutzerdatenbank könnte darin die ID des Benutzers in der DB sein.

Wie acuh immer: Die Frage, wie sicher all das ist, ist die Kernfrage?
Nun: Wenn jemand anhand der Session-IDs erkennen kann, wie die Session-IDs gebildet werden, DANN kannst du es auch alles offen lassen :)

Beispiel: Deine Session-IDs sind einfach fortlaufende Nummern der Ids der Benutzer aus der Datenbank.

Wenn nun ein neuer User A die ID 123 bekommt und im Quellcode dann sieht und er als nächstes ueber einen anderen Provider reingeht und sieht, als neuer Nutzer B die ID 124 bekommt, was wird er dann wohl schliessen?
"Heureka: Er weiss, dass es sehr wahrscheinlich ist, dass es 122 andere User gibt, die die IDs 1 - 122 nutzen :)

Und wenn man die Aktionen der User nur noch mit IDs macht, kann der also für die anderen User ne Menge Mist bauen.

Ciao,
  Wolfgang

Moin,

Hab ich ein Problem, wenn ich Daten mit HTTP über SSL (mit 128 bit)
verschlüssele, aber eine Session-ID mit URL-Rewriting einsetze, welche ja
in der URL prinzipiell lesbar ist (Referer,zwischengeschaltete Server,etc.)?

Wenn die Inhalte eine HTTPS-Verbindung auf Zwischenrechnern lesbar sind, hast du ohnehin ein Problem. ;-)
Generell schützt HTTPS aber die gesamte Verbindung, so dass niemand irgendetwas darin lesen kann, seien es nun die Dateninhalte oder die URLs. Wenn du nicht grade Windows einsetzt, was zur Zeit ein paar Probleme mit SSL-Zertifikaten hat (zumindest laut Microsoft ist das aktuelle IE-Problem was im Prinzip beliebiges Abhören von SSL-Verbindungen ermöglicht nämlich kein IE- sondern ein Betriebssystemproblem), brauchst du dir über die Sicherheit der Übertragung selbst eigentlich keine Gedanken zu machen, wenn es denn wirklich 128 Bit sind.

Problematisch wird es dann erst an den beiden Endpunkten: Kann jemand auf das Access-Log des Webservers mit den darin enthaltenen Session-IDs zugreifen? Oder gar auf den Speicher in dem die Sessiondaten gehalten werden? Ist der Rechner des Benutzers hinreichend vertrauenswürdig (keine Trojaner oder Keylogger), und wird die Session immer ordnungsgemäß gelöscht? (Das ist besonders wichtig, wenn andere Zugriff auf den selben Rechner haben und evt. in die URL-History schauen könnten.) Und natürlich sollte dein Angebot selbst keine direkten externen Links enthalten, sonst kommt der Referer wieder ins Spiel.

--
Henryk Plötz
Grüße von der Ostsee

Hallo,

erst mal vielen Dank für die (schnellen) Antworten ...

Ich muß noch mal etwas ausholen. Für das "Aufbauen" von Sitzungen gibt es ja
3 Möglichkeiten:

- Cookie
 - URL-Rewriting
 - Hidden Fields

Bei der zweiten Variante wird die Session-ID ja in der URL mitgeführt.

Kern meiner Frage hätte wohl sein müssen:

Geht die URL bei HTTPS (und mit ihr eine mögliche session-id) im Klartext
über die Leitung oder ist sie Bestandteil der HTTPS-Verschlüsselung ?

Mir geht es hier um das Abhören durch Dritte. Start und Zeilssystem können
wir dabei mal außen vor lassen.

Bei den Session-Alternativen Cookie und Hidden Fields ist es offensichtlich so.

Gruß Uli