Mitleser: Bevor gefragt wird, wieso denn alle unzutreffend seien

Beitrag lesen

  1. dass es Sache der Serverkonfiguration ist, für eine gesicherte Übertragung zu sorgen,
  2. dass es ebenfalls Sache der Serverkonfiguration ist, dafür zu sorgen, dass dem Sessioncookie die Information mitgegeben wird, dass der Browser es JavaScript nicht zur Verfügung stellen möge.

Das ist für mich ein klarer Fall von das eine zu tun ohne das andere zu lassen. Man kann diese Probleme sowohl auf Ebene der Server-Konfiguration als auch auf Ebene der Anwendung angehen. Macht man beides, verkleinert man die Angriffsoberfläche. Auf der Testseite wird keine der beiden Möglichkeiten genutzt.

Wirklich? Er gibt diese URL an:

versuche doch auch

Das Ergebnis spricht dafür, dass er eine der beiden Möglichkeiten nutzt.Man muss sich jedenfalls ziemlich anstrengen um die Benutzerdaten unverschlüsselt zu übertragen. Auch die Session-Id wird vom Server an den Client nur via https gesendet.

Was jetzt die Nutzung von http_only für das Sessioncookie betrifft: da steht '/Tests' und der Benutzername sowie das Passwort auf der Seite mit dem Login... Würdest Du Dir dann die Mühe machen und für erweiterte Sicherheit zu sorgen?

An anderer Stelle tut er es schließlich - dem Vergleich nach nicht mal schlecht.

0 62

Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert?

einsiedler
  • php
  1. 0
    Emil
    1. 0
      einsiedler
  2. 0
    Felix Riesterer
    1. 3
      Matthias Scharwies
      • php
      • wordpress
    2. 0
      einsiedler
      1. 0
        Felix Riesterer
  3. 1
    Mutter der Porzellankiste
    1. 0
      Matthias Scharwies
      1. 0
        Mutter der Porzellankiste
    2. 0
      einsiedler
    3. 8
      1unitedpower
      • php
      • sicherheit
      1. 0
        Matthias Apsel
        • php
        • selfhtml-wiki
        • sicherheit
        1. 0
          1unitedpower
      2. 0
        Indianerversteher
        1. 0
          1unitedpower
          1. 0
            Indianerversteher
            1. 0
              Indianerversteher
            2. 2
              Camping_RIDER
              1. 0
                Indianerversteher
                1. 6
                  JürgenB
                  1. 0

                    Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert? - Moderiert -

                    Indianerversteher
                    1. 7

                      Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert?

                      JürgenB
                2. 0

                  Mathematik zum Montag

                  Indianerversteher
                  1. 0
                    Gunnar Bittersmann
                    1. 0
                      Indianerversteher
                  2. 2
                    Camping_RIDER
                    1. 0
                      Indianerversteher
                    2. 0
                      Indianerversteher
                      1. 0
                        Camping_RIDER
                  3. 3
                    Matthias Apsel
                    • sicherheit
                    1. 2
                      marctrix
                  4. 0
                    1unitedpower
                    1. 0
                      Mitleser
                      1. 2
                        1unitedpower
                        1. 0
                          Mitleser
                          1. 0
                            marctrix
                          2. 2
                            Christian Kruse
                            1. 0
                              Mitleser
                              1. 0
                                1unitedpower
                                1. 0
                                  Mitleser
                              2. 0

                                Bevor gefragt wird, wieso denn alle unzutreffend seien

                                Mitleser
                                1. 0
                                  1unitedpower
                                  1. 0
                                    Mitleser
                                    1. 2
                                      Matthias Apsel
                                      • meinung
                                      1. 0
                                        Mitleser
                                        1. 0
                                          Christian Kruse
                  5. 2
                    marctrix
                    1. 0
                      Tabellenkalk
              2. -2
                Indianerversteher
                1. 0
                  Camping_RIDER
                  1. 0
                    Indianerversteher
                    1. 1
                      Camping_RIDER
                      1. 0
                        Indianerversteher
            3. 0
              1unitedpower
              1. 0
                Indianerversteher
                1. 0
                  Camping_RIDER
                  1. 0
                    Indianerversteher
                  2. 0
                    Indianerversteher
      3. 0
        Indianerversteher
        1. 0
          Camping_RIDER
          1. 0
            Indianerversteher