1010: Bürokratie oder „Ich habe noch 'ne Sitzung…“

Nikolaus 2.0 · 10.12.2008, 00:00

1010:

Sessions in PHP sind so eine Sache. An sich sollte man Session generell sein lassen und der User müsste sich bei jedem Request über eine SSL-Verbindung neu authentifizieren und das möglichst mit einem langen, wirklich zufälligen Passwort, das aus vielen verschiedenen Zeichen besteht, sodass es sich kein Mensch merken kann. Noch besser wäre es jedoch, User generell auszusperren, dann umgeht man jedes Risiko.
Schon immer so gemacht? Nun, dann mache es weiter so und alle anderen, die trotz des bösen Users gerne Sessions benutzen wollen, ob nun selbst implementiert oder mit den Mitteln, die PHP von sich aus bietet, sollte sich auf jeden Fall einmal mit den möglichen Sicherheitslücken und den Angriffstechniken auf Sessions beschäftigen.
Eine sehr gute und ausführliche Beschreibung davon findet ihr hier: Session-Angriffe - eine Analyse an PHP.
Wer allgemein noch tiefer in die Welt der Sicherheitslücken, Security holes und Angriffsstellen einsteigen möchte, dem sei auch das Buch PHP-Sicherheit ans Herz gelegt.

maller86 · 10.12.2008, 07:11

das kommt ja wie gerufen

damit wären wohl viele fragen meinerseits beantwortet ^^

phpdummi · 10.12.2008, 07:50

Es verkauft nicht zufällig jemand das Buch oder?

byFd · 10.12.2008, 08:53

Amazon verkauft es

Ne Scherz, ich hab es (zwar nur die 2.(?) Auflage), aber werde es auch behalten.
Ist aber echt auf jedenfall zu empfehlen.

PTC · 10.12.2008, 09:14

So ein Beitrag hat auf jeden Fall gefehlt!

Manko10 · 10.12.2008, 13:29

@phpdummi: wünsche es dir doch zu Weihnachten.

phpdummi · 11.12.2008, 09:07

... oder ein SektionEins Consulting.
Äh nein, doch lieber das Buch

nikosch · 14.12.2008, 18:29

Wer noch nicht so drauf geachtet hat: Auf der oben verlinkten Seite wird ein PDF angeboten, von dem Session-Sicherheit nur ein Teil ist. Das PDF beschreibt eine Vielzahl von weiteren Angriffsvektoren, die Websites betreffen: Email Header Injection, Cross Site Scripting etc. Also eine kleine Checkliste.

notyyy · 16.12.2008, 11:41

die erste auflage hatte ich mal aus der stadtbücherei (Düsseldorf),
die 3. hatte ich mir später dann mal gekauft, ist wirklich zu empfehlen.

10.12.2008, 00:00
Nikolaus 2.0 Adventskalenderöffner Registriert seit: 27.11.2008 Beiträge: 72 PHP-Kenntnisse: Fortgeschritten	1010: Bürokratie oder „Ich habe noch 'ne Sitzung…“ 1010: Sessions in PHP sind so eine Sache. An sich sollte man Session generell sein lassen und der User müsste sich bei jedem Request über eine SSL-Verbindung neu authentifizieren und das möglichst mit einem langen, wirklich zufälligen Passwort, das aus vielen verschiedenen Zeichen besteht, sodass es sich kein Mensch merken kann. Noch besser wäre es jedoch, User generell auszusperren, dann umgeht man jedes Risiko. Schon immer so gemacht? Nun, dann mache es weiter so und alle anderen, die trotz des bösen Users gerne Sessions benutzen wollen, ob nun selbst implementiert oder mit den Mitteln, die PHP von sich aus bietet, sollte sich auf jeden Fall einmal mit den möglichen Sicherheitslücken und den Angriffstechniken auf Sessions beschäftigen. Eine sehr gute und ausführliche Beschreibung davon findet ihr hier: Session-Angriffe - eine Analyse an PHP. Wer allgemein noch tiefer in die Welt der Sicherheitslücken, Security holes und Angriffsstellen einsteigen möchte, dem sei auch das Buch PHP-Sicherheit ans Herz gelegt.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

10.12.2008, 07:11
maller86 Benutzer Registriert seit: 09.12.2008 Beiträge: 32	das kommt ja wie gerufen damit wären wohl viele fragen meinerseits beantwortet ^^

10.12.2008, 07:50
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	Es verkauft nicht zufällig jemand das Buch oder? __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

10.12.2008, 08:53
byFd Erfahrener Benutzer Registriert seit: 06.11.2008 Beiträge: 154	Amazon verkauft es Ne Scherz, ich hab es (zwar nur die 2.(?) Auflage), aber werde es auch behalten. Ist aber echt auf jedenfall zu empfehlen.

10.12.2008, 09:14
PTC Erfahrener Benutzer Registriert seit: 27.10.2007 Beiträge: 1.708 PHP-Kenntnisse: Anfänger	So ein Beitrag hat auf jeden Fall gefehlt!

10.12.2008, 13:29
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	@phpdummi: wünsche es dir doch zu Weihnachten. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

11.12.2008, 09:07
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.631 PHP-Kenntnisse: Anfänger	... oder ein SektionEins Consulting. Äh nein, doch lieber das Buch __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

14.12.2008, 18:29
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.189 PHP-Kenntnisse: Fortgeschritten	Wer noch nicht so drauf geachtet hat: Auf der oben verlinkten Seite wird ein PDF angeboten, von dem Session-Sicherheit nur ein Teil ist. Das PDF beschreibt eine Vielzahl von weiteren Angriffsvektoren, die Websites betreffen: Email Header Injection, Cross Site Scripting etc. Also eine kleine Checkliste. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

16.12.2008, 11:41
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.037 PHP-Kenntnisse: Fortgeschritten	die erste auflage hatte ich mal aus der stadtbücherei (Düsseldorf), die 3. hatte ich mir später dann mal gekauft, ist wirklich zu empfehlen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen