xwolf: Sichere Übertragung durch HTTPS und Session-ID

Beitrag lesen

SELF-Forum

Sichere Übertragung durch HTTPS und Session-ID

xwolf
Informationen zu den Bewertungsregeln

Hi,

erst mal vielen Dank für die (schnellen) Antworten ...

Ich muß noch mal etwas ausholen. Für das "Aufbauen" von Sitzungen gibt es ja
3 Möglichkeiten:

  • Cookie
  • URL-Rewriting
  • Hidden Fields

Bei der zweiten Variante wird die Session-ID ja in der URL mitgeführt.

Kern meiner Frage hätte wohl sein müssen:

Geht die URL bei HTTPS (und mit ihr eine mögliche session-id) im Klartext
über die Leitung oder ist sie Bestandteil der HTTPS-Verschlüsselung ?

Praktisch ja über die Referer-Variable.
Wenn du zum Beispiel mal auf deiner Webseite einen Counter einbaust, der notiert, wo laut Referer die Leute vorher waren, wirst du wahrscheinlich auch sowas finden:
https://webmail.providername.blub/read/5124365425665/121

Wenn du dann darauf klickst, hast du dann bei einem *schlechten*
Dienst die Mail von einem User des Webmaildienstes vor Augen.
Bei einen normalen Webmaildienst wird dagegen hoffentlich eine Fehlermeldung kommen.

Hiergegen sollte man im wesentlichen eines machen: Die Variablen
mit der Methode POST uebertragen anstelle von GET.
Das ist zwar in der Bedienung schlechter wenn die Leute den Back-Button betaetigen, aber naja...
Hier kann man ja dann andere Moeglichkleiten einbauen.

Mir geht es hier um das Abhören durch Dritte. Start und Zeilssystem können
wir dabei mal außen vor lassen.

Bei den Session-Alternativen Cookie und Hidden Fields ist es offensichtlich so.

Das kommt bei den Hidden Fields auf die Methode drauf an.
Es gibt fast keinen Unterschied zwischen der Angabe der ID in
der URL oder als Hidden Fields bei der GET-Methode.
Genaugenommen wird bei der GET-Methode schliesslich ja auch alles in der URL codiert.

Bei Cookies stelt sich neben der Sicherheit auch die Frage, inwieweit man sich auf diese verlassen kann. Was, wenn Leute auf Firmenbrowsern arbeiten, bei denen Cookies abgeschaltet ist?

Du hast bei der URL-methode nur zustaetzlich noch die Moeglichkeit mit PATH_INFO zu arbeiten.

Wo könnte man das Thema (gerne leicht verständlich) nachlesen ?

»»

Es gibt diverse Buecher zum Thema Security von Servern etc.
Fuer Web-Security selbst ist mir jedoch kein *aktuelles* Buch bekannt,
welches ich empfehlen kann. Allerhoechstens das Buch von Lincoln Stein
"Web Security".
Jedoch ist dies schon ein paar Jaehrchen alt und berucksichtigt daher nicht unbedingt neueste Entwicklungen.

Ich wuerde eher empfehlen, dass du einfach mal im netz dazu rumschaust und fragst, wie du es schon getan hast.

Bei mir findest du zum Thema ein paar Artikel, aber die beschaeftigen sich mehr mit CGI an sich. Ggf waere dieser interessant: http://www.xwolf.de/artikel/cgisec.shtml .

Ciao,
  Wolfgang

Beitrag melden
Informationen zu den Bewertungsregeln