Sicherheit von Sessions
0 0 0 
_roro
0 
Der Martin
Sicherheit von Sessions
Hallo
Um bei meiner Homepage Sicherheitslücken zu schliessen hab ich versucht sie selbst zu hacken =)
Ich bin auf dieses Addon gestossen:
https://addons.mozilla.org/firefox/573/
Damit kann man den Inhalt der Cookies bearbeiten.
Bei "Normalen" Cookies funktioniert dies auch was mich dazu veranlasst hat auf Sessions umzusteigen.
Bei Sessions zeigt es nur ein Cookie mit dem Namen PHPSESSID an, das einen verschlüsselten Inhalt hat. Andere Session-Cookies werden erst gar nicht angezeigt.
Was ist der Unterschied? Wie könnte man diese Verändern?
P.S.: Ich habe nun in den Cookie's nur eine Zufallszahl gespeichert die jede Sitzung neu generiert wird.
-
hi,
Um bei meiner Homepage Sicherheitslücken zu schliessen hab ich versucht sie selbst zu hacken =)
Ich bin auf dieses Addon gestossen:https://addons.mozilla.org/firefox/573/
Damit kann man den Inhalt der Cookies bearbeiten.
Bei "Normalen" Cookies funktioniert dies auch was mich dazu veranlasst hat auf Sessions umzusteigen.
Bei Sessions zeigt es nur ein Cookie mit dem Namen PHPSESSID an, das einen verschlüsselten Inhalt hat.Der Inhalt ist nicht verschlüsselt, sondern lediglich die ID, mit der der Client vom Server wieder identifiziert wird - und diese besteht aus einer zufälligen Zeichenkombination.
Andere Session-Cookies werden erst gar nicht angezeigt.
Definiere Session-Cookies.
Was ist der Unterschied?
Was ist der Unterschied zwischen einem Pinguin?
P.S.: Ich habe nun in den Cookie's nur eine Zufallszahl gespeichert die jede Sitzung neu generiert wird.
Und?
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Der Inhalt ist nicht verschlüsselt, sondern lediglich die ID, mit der der Client vom Server wieder identifiziert wird - und diese besteht aus einer zufälligen Zeichenkombination.
Andere Session-Cookies werden erst gar nicht angezeigt.
Definiere Session-Cookies.
Ich nehme an ich hab irgendwas am Prinzip Session falsch verstanden.
$_SESSION['id']=216646;
$_SESSION['name']='splinter';Ich habe erwartet dass 2 Cookies mit den Namen 'id' und 'name' gesetzt werden, scheinbar werden diese Daten auf dem Server gespeichert. (Danke für die sehr deutliche Erklärung php.net ^^)
P.S.: Ich habe nun in den Cookie's nur eine Zufallszahl gespeichert die jede Sitzung neu generiert wird.
Und?
Damit wollte ich verhindern dass dieser Thread mit unnötigen Sicherheitsvorschlägen vollgepumpt wird. Da ich aber scheinbar das Session Prinzip falsch verstanden habe erübrigt sich das.
gruss splinter
-
hi splinter,
Damit wollte ich verhindern dass dieser Thread mit unnötigen Sicherheitsvorschlägen vollgepumpt wird. Da ich aber scheinbar das Session Prinzip falsch verstanden habe erübrigt sich das.
Tipp von mir:
Unter dem Aufbau einer Session verstehe ich, dass ein serverseitiger Prozess dem Client einen eindeutigen Key-String mitteilte und diesen Key-String gleichermaßen serverseitig ablegte.
Eine Session ist solange gültig, wie im weiteren Kommunikationsverlauf zwischen Client und Server, der Client dem Server diesen Key-String mitteilt und der Server erfolgreich prüft, dass es diesen Key-String ebenso auf dem Server gibt.
Abstrakt:
Server und Client handeln einen Key aus und es wird bei jeder Kommunikation geprüft, ob der Key Server- wie Clientseitig übereinstimmt.
Der Übertragungsweg ist _nicht_ an ein bestimmtes Protokoll gebunden, jedoch werden solche Sessions i.d.R. über HTTP/HTTPS abgewickelt, wobei der Key clientseitig meistens in einem Cookie gespeichert wird, obwohl es auch andere Möglichkeiten dazu gibt.
Es gibt bisher keine RFC zu Sessions. Daher sind Deiner Creativität keine Grenzen gesetzt, pespective Barrierefreie Informationstechnik-Verordnung - BITV.
--roro
-
Vielen Dank roro
gruss Splinter
-
-
-
n'Abend,
Was ist der Unterschied zwischen einem Pinguin?
je tiefer desto taucht er?
*scnr*
Martin--
Ja, ja... E.T. wusste schon, warum er wieder nach Hause wollte.
-