Henryk Plötz: Security-Konzept -> Mies oder Gut? -> Vorschlaege?

Beitrag lesen

SELF-Forum

Security-Konzept -> Mies oder Gut? -> Vorschlaege?

Henryk Plötz
Informationen zu den Bewertungsregeln

Moin,

Wieso das? Wenn er die Session-ID ersniffen konnte, konnte er den Rest auch sehen. Das wurde kürzlich in de.comp.lang.php.netzprotokolle diskutiert. Message-ID 2205023.DmvXUDI8C0@malkusch.de und folgende. Ich habe jetzt keine Lust meine Argumente hier noch einmal zu wiederholen.

Ich hatte grade einen Anruf (Aqua, warst du das?) und offensichtlich wird de.comp.lang.php.netzprotokolle nicht bei Google archiviert.

Also doch eine Wiederholung:
Die Header zu speichern bringt keine zusätzliche Sicherheit. Wenn ein Angreifer nämlich die Session-ID ersniffen kann, kann er auch die anderen Header kriegen und sie für den Angriff zurückspielen. Bei einer normalen Benutzung hingegen können sich die Header schonmal ändern und der Benutzer würde dann ausgeloggt, was für den Benutzer dann sehr ärgerlich ist.

Die IP-Addresse zu speichern ist eine blöde Idee, da sie sich auch bei normaler Nutzung ändern kann (durch Proxy-Batterien wie sie manche Provider einsetzen zum Beispiel). Auch können mehrere User hinter der selben Addresse stecken.

Korrekt könnte man nun HTTP Digest Authentication einsetzen, um Angreifer abzuwehren welche sniffen können (und in gewissem Maße auch solche die die Verbindung manipulieren können), das kann der Internet Explorer aber wieder nicht.

Da aber hier schon SSL im Einsatz ist: SSL (also HTTPS) ist an sich ausreichend gegen alle möglichen Angriffe (modulo Implementationsfehler, auch die hat es gegeben). Sniffende Angreifer können die verschlüsselten Daten nicht entschlüsseln. Es sei denn der Serverbetreiber geht mit seinem geheimen Schlüssel unsicher um.
Männer-in-der-Mitte müssten auffallen da sie höchstwahrscheinlich kein Zertifikat kriegen, welches auf den verwendeten Servernamen von einer Instanz der der Browser vertraut zertifiziert wurde. (Verisign zum Beispiel hatte aber schonmal ein falsches Microsoft-Zertifikat ausgestellt.) Dagegen hilft es, wenn der Benutzer das Serverzertifikat anhand seines Fingerprints über einen sicheren Kanal zum Serverbetreiber überprüft. Persönlicher Kontakt ist zum Beispiel klasse, Telefon könnte eventuell auch gehen.
Die Sicherheit geht aber soweit, dass viele Leute dem ihre Kreditkartendaten anvertrauen.

--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
Beitrag melden
Informationen zu den Bewertungsregeln