FireSheep

Wolla · 28.10.2010, 19:36

http://www.chip.de/news/Facebook-kna..._45362587.html

Offenbar basiert das auf Session-Hijacking. Man klaut sich den Cookie eines anderen PC und fährt dann auf dessen Session spazieren - oder verstehe ich das falsch?

Ein Grund mehr, sich mal verstärkt mit dem Thema Session-Sicherheit zu beschäftigen.

Flor1an · 28.10.2010, 19:43

Jop genau so geht das. Allerdings funktioniert das nur wenn du im selben Netzwerk wie der andere Rechner sitzt und du die Datenpakete der anderen Rechner mitschneiden kannst. Das ist allerdings nicht "so häufig" der Fall würde ich sagen. Nur in unverschlüsselten WLANs, selbst im Heimnetz wenn du nen Switch benutzt sollte das schon nicht mehr möglich sein.

cycap · 29.10.2010, 08:15

Das heisst FireSheep greift direkt auf die Netzwerkkarte zu oder wie läuft das?

Flor1an · 29.10.2010, 09:40

Nicht direkt, im Artikel steht das WinPCAP benötigt wird. Das ist ne Bibliothek die eben auf die Netzwerkkarte zugreift und dort Pakete empfangen und senden kann.

Trainmaster · 29.10.2010, 11:43

Vielen Dank, Wolla, für den Link. Ich finde das Thema sehr interessant, gerade da ich mich zur Zeit mit einem Login-System beschäftige.

Würde es denn schon ausreichen, den Session-Cookie mit dem Parameter "secure = true" zu versehen oder sollte konsequent im kompletten Login-Bereich SSL verwendet werden?

Flor1an · 29.10.2010, 12:38

Da musst du schon komplett SSL verwenden den es geht um die Übertragung der Cookies vom Client zum Server. Und da ist völlig egal was in der Session steht, solang der Angreifer deinen Cookie mitlesen kann reicht ihm das (meist, wenn es jetzt nicht irgendwie noch die IP oder so überprüft wird, wobei wenn du im selben Netzwerk sitzt du wohl auch die selbe IP nach außen hin haben wirst).

Trainmaster · 29.10.2010, 12:42

Aber reicht dann nicht eigentlich der secure Parameter des Session-Cookies? Zitat:

Zitat:

If TRUE cookie will only be sent over secure connections.

agrajag · 29.10.2010, 12:53

Zitat:

Zitat von Trainmaster

Aber reicht dann nicht eigentlich der secure Parameter des Session-Cookies? Zitat:

Ja.
Du musst allerdings dann bedenken, dass Seiten die du nicht über SSL auslieferst das Cookie auch nicht bekommen - und du somit nicht weißt ob der user eingeloggt ist.

Eine mögliche Lösung ist es, das Session-Cookie "ganz normal" zu setzen, aber beim Login (der natürlich nur über SSL gehen darf) ein zweites Cookie mit secure=true und einem zufälligen String zu setzen.
Alle "gefährlichen/privaten" Aktionen müssen über SSL laufen und auf jeder Seite prüfst du a) ob der User eingeloggt ist (Session-Cookie) und b) ob er das secure-Cookie auch hat.

Flor1an · 29.10.2010, 12:54

Soweit ich das verstanden hab bedeutet aber cookie_secure = On nur das die Session Cookies NUR mitgesendet wird wenn du über SSL (https) deine Seite lädst. Wenn du sie normal mit http öffnest dann wird das Session Cookie gar nicht übertragen.

Das Cookie wird ja IM HTTP Request übertragen, es wird also nicht separat übertragen und kann somit nicht separat verschlüsselt werden.

Trainmaster · 29.10.2010, 13:48

Achso, dann habe ich das falsch aufgefasst. Nun gut, dann baue ich den Konstruktur meines Controllesr (ein zentraler Admin-Controller) eine automatische Weiterleitung auf https ein, sofern die Seite über http angefragt wird. Einwandfrei, vielen Dank soweit

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

28.10.2010, 19:36
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	FireSheep http://www.chip.de/news/Facebook-kna..._45362587.html Offenbar basiert das auf Session-Hijacking. Man klaut sich den Cookie eines anderen PC und fährt dann auf dessen Session spazieren - oder verstehe ich das falsch? Ein Grund mehr, sich mal verstärkt mit dem Thema Session-Sicherheit zu beschäftigen. __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.10.2010, 19:43
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Jop genau so geht das. Allerdings funktioniert das nur wenn du im selben Netzwerk wie der andere Rechner sitzt und du die Datenpakete der anderen Rechner mitschneiden kannst. Das ist allerdings nicht "so häufig" der Fall würde ich sagen. Nur in unverschlüsselten WLANs, selbst im Heimnetz wenn du nen Switch benutzt sollte das schon nicht mehr möglich sein.

29.10.2010, 08:15
cycap Moderator Registriert seit: 13.02.2008 Beiträge: 6.816 PHP-Kenntnisse: Fortgeschritten	Das heisst FireSheep greift direkt auf die Netzwerkkarte zu oder wie läuft das?

29.10.2010, 09:40
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Nicht direkt, im Artikel steht das WinPCAP benötigt wird. Das ist ne Bibliothek die eben auf die Netzwerkkarte zugreift und dort Pakete empfangen und senden kann.

29.10.2010, 11:43
Trainmaster Erfahrener Benutzer Registriert seit: 25.05.2010 Beiträge: 852 PHP-Kenntnisse: Anfänger	Vielen Dank, Wolla, für den Link. Ich finde das Thema sehr interessant, gerade da ich mich zur Zeit mit einem Login-System beschäftige. Würde es denn schon ausreichen, den Session-Cookie mit dem Parameter "secure = true" zu versehen oder sollte konsequent im kompletten Login-Bereich SSL verwendet werden?

29.10.2010, 12:38
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Da musst du schon komplett SSL verwenden den es geht um die Übertragung der Cookies vom Client zum Server. Und da ist völlig egal was in der Session steht, solang der Angreifer deinen Cookie mitlesen kann reicht ihm das (meist, wenn es jetzt nicht irgendwie noch die IP oder so überprüft wird, wobei wenn du im selben Netzwerk sitzt du wohl auch die selbe IP nach außen hin haben wirst).

29.10.2010, 12:54
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Soweit ich das verstanden hab bedeutet aber cookie_secure = On nur das die Session Cookies NUR mitgesendet wird wenn du über SSL (https) deine Seite lädst. Wenn du sie normal mit http öffnest dann wird das Session Cookie gar nicht übertragen. Das Cookie wird ja IM HTTP Request übertragen, es wird also nicht separat übertragen und kann somit nicht separat verschlüsselt werden.

29.10.2010, 13:48
Trainmaster Erfahrener Benutzer Registriert seit: 25.05.2010 Beiträge: 852 PHP-Kenntnisse: Anfänger	Achso, dann habe ich das falsch aufgefasst. Nun gut, dann baue ich den Konstruktur meines Controllesr (ein zentraler Admin-Controller) eine automatische Weiterleitung auf https ein, sofern die Seite über http angefragt wird. Einwandfrei, vielen Dank soweit