1010: Bürokratie oder „Ich habe noch 'ne Sitzung…“

Nikolaus 2.0 · 10.12.2008, 00:00

1010:

Sessions in PHP sind so eine Sache. An sich sollte man Session generell sein lassen und der User müsste sich bei jedem Request über eine SSL-Verbindung neu authentifizieren und das möglichst mit einem langen, wirklich zufälligen Passwort, das aus vielen verschiedenen Zeichen besteht, sodass es sich kein Mensch merken kann. Noch besser wäre es jedoch, User generell auszusperren, dann umgeht man jedes Risiko.
Schon immer so gemacht? Nun, dann mache es weiter so und alle anderen, die trotz des bösen Users gerne Sessions benutzen wollen, ob nun selbst implementiert oder mit den Mitteln, die PHP von sich aus bietet, sollte sich auf jeden Fall einmal mit den möglichen Sicherheitslücken und den Angriffstechniken auf Sessions beschäftigen.
Eine sehr gute und ausführliche Beschreibung davon findet ihr hier: Session-Angriffe - eine Analyse an PHP.
Wer allgemein noch tiefer in die Welt der Sicherheitslücken, Security holes und Angriffsstellen einsteigen möchte, dem sei auch das Buch PHP-Sicherheit ans Herz gelegt.

maller86 · 10.12.2008, 07:11

das kommt ja wie gerufen

damit wären wohl viele fragen meinerseits beantwortet ^^

phpdummi · 10.12.2008, 07:50

Es verkauft nicht zufällig jemand das Buch oder?

byFd · 10.12.2008, 08:53

Amazon verkauft es

Ne Scherz, ich hab es (zwar nur die 2.(?) Auflage), aber werde es auch behalten.
Ist aber echt auf jedenfall zu empfehlen.

PTC · 10.12.2008, 09:14

So ein Beitrag hat auf jeden Fall gefehlt!

Manko10 · 10.12.2008, 13:29

@phpdummi: wünsche es dir doch zu Weihnachten.

phpdummi · 11.12.2008, 09:07

... oder ein SektionEins Consulting.
Äh nein, doch lieber das Buch

nikosch · 14.12.2008, 18:29

Wer noch nicht so drauf geachtet hat: Auf der oben verlinkten Seite wird ein PDF angeboten, von dem Session-Sicherheit nur ein Teil ist. Das PDF beschreibt eine Vielzahl von weiteren Angriffsvektoren, die Websites betreffen: Email Header Injection, Cross Site Scripting etc. Also eine kleine Checkliste.

notyyy · 16.12.2008, 11:41

die erste auflage hatte ich mal aus der stadtbücherei (Düsseldorf),
die 3. hatte ich mir später dann mal gekauft, ist wirklich zu empfehlen.

10.12.2008, 00:00	#1 (permalink)
Nikolaus 2.0 Adventskalenderöffner Registriert seit: 27.11.2008 Beiträge: 48	1010: Bürokratie oder „Ich habe noch 'ne Sitzung…“ 1010: Sessions in PHP sind so eine Sache. An sich sollte man Session generell sein lassen und der User müsste sich bei jedem Request über eine SSL-Verbindung neu authentifizieren und das möglichst mit einem langen, wirklich zufälligen Passwort, das aus vielen verschiedenen Zeichen besteht, sodass es sich kein Mensch merken kann. Noch besser wäre es jedoch, User generell auszusperren, dann umgeht man jedes Risiko. Schon immer so gemacht? Nun, dann mache es weiter so und alle anderen, die trotz des bösen Users gerne Sessions benutzen wollen, ob nun selbst implementiert oder mit den Mitteln, die PHP von sich aus bietet, sollte sich auf jeden Fall einmal mit den möglichen Sicherheitslücken und den Angriffstechniken auf Sessions beschäftigen. Eine sehr gute und ausführliche Beschreibung davon findet ihr hier: Session-Angriffe - eine Analyse an PHP. Wer allgemein noch tiefer in die Welt der Sicherheitslücken, Security holes und Angriffsstellen einsteigen möchte, dem sei auch das Buch PHP-Sicherheit ans Herz gelegt.

10.12.2008, 07:50	#3 (permalink)
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.624 PHP-Kenntnisse: Anfänger	Es verkauft nicht zufällig jemand das Buch oder? __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

10.12.2008, 13:29	#6 (permalink)
Manko10 Supermoderator Registriert seit: 16.03.2008 Beiträge: 6.591 PHP-Kenntnisse: Fortgeschritten	@phpdummi: wünsche es dir doch zu Weihnachten. __________________ Rettungsplan Deepwater Disaster: Pumpt das Öl ins Meer, läuft doch alles wie geschmiert! ― Gebt euch betroffen, wir sind ja alle Opfer! ― Last but not least Plan B: versucht Plan A nochmal!

11.12.2008, 09:07	#7 (permalink)
phpdummi Erfahrener Benutzer Registriert seit: 06.06.2008 Beiträge: 1.624 PHP-Kenntnisse: Anfänger	... oder ein SektionEins Consulting. Äh nein, doch lieber das Buch __________________ "Nobody is as smart as everybody" - Kevin Kelly — The best things in life aren't things

14.12.2008, 18:29	#8 (permalink)
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 25.134 PHP-Kenntnisse: Fortgeschritten	Wer noch nicht so drauf geachtet hat: Auf der oben verlinkten Seite wird ein PDF angeboten, von dem Session-Sicherheit nur ein Teil ist. Das PDF beschreibt eine Vielzahl von weiteren Angriffsvektoren, die Websites betreffen: Email Header Injection, Cross Site Scripting etc. Also eine kleine Checkliste. __________________ -- „Eins ist Fakt: Gescannt wird nackt!“ Privatsphäre 2.0 - Nacktscanner mit Eyetracking. Unser Flugzeug darf kein geschlechtsfreier Raum sein. --


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

10.12.2008, 07:11	#2 (permalink)
maller86 Benutzer Registriert seit: 09.12.2008 Beiträge: 30	das kommt ja wie gerufen damit wären wohl viele fragen meinerseits beantwortet ^^

10.12.2008, 08:53	#4 (permalink)
byFd Erfahrener Benutzer Registriert seit: 06.11.2008 Beiträge: 154	Amazon verkauft es Ne Scherz, ich hab es (zwar nur die 2.(?) Auflage), aber werde es auch behalten. Ist aber echt auf jedenfall zu empfehlen.

10.12.2008, 09:14	#5 (permalink)
PTC Erfahrener Benutzer Registriert seit: 27.10.2007 Beiträge: 1.699 PHP-Kenntnisse: Anfänger	So ein Beitrag hat auf jeden Fall gefehlt!

16.12.2008, 11:41	#9 (permalink)
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 867 PHP-Kenntnisse: Fortgeschritten	die erste auflage hatte ich mal aus der stadtbücherei (Düsseldorf), die 3. hatte ich mir später dann mal gekauft, ist wirklich zu empfehlen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen