PHPSESSID über URL ist ein sch**** Sicherheitsproblem!

unknownsoul · 24.06.2004, 00:30

hi leute,

also folgendes problem bei mir, wenn ich mich bei meinem script einlogge schicke ich an jede weitere datei die PHPSESSID über die url mit.

damit identifiziere ich den user in der datenbank, die PHPSESSID wird temporär mitgespeichert und alles funktioniert einwandfrei.

so weit so gut, aber wenn ich den link jemand schicke und er sich auch einloggt mit seinen daten kann er mit meinem link (in dem ja meine PHPSESSID ist) auf mein profil zugreifen und z.b. daten löschen, vorrausgesetzt er ist auch angemeldet.

wie kann ich dieses problem umgehen?

24.06.2004, 01:36

Zitat:

Zitat von unknownsoul

wie kann ich dieses problem umgehen?

a. solche Links nicht weitergeben,
b. Cookies verwenden

24.06.2004, 08:36

c) an die IP-Adresse binden <- nicht immer zu empfehlen, stichwort Proxies
d) mit zusätzlichen Informationen binden -> also User-Agent, accept_languages etc.
e) mit referern arbeiten -> link ohne referer == neue session

...nur so als Ideen ;-)

24.06.2004, 08:41

ich hab das problem mit sessions gelöst. ich glaub das ist nicht die schlechteste lösung.

mfg
topec

MrMarco · 24.06.2004, 08:44

Zitat:

Zitat von RealNexus

c) an die IP-Adresse binden <- nicht immer zu empfehlen, stichwort Proxies
d) mit zusätzlichen Informationen binden -> also User-Agent, accept_languages etc.
e) mit referern arbeiten -> link ohne referer == neue session

...nur so als Ideen

c) Problematisch
d) Kann vom Client manipuliert werden
e) Stichtwort Proxy

Gibt auch Clients die das nicht sauber können

Möglichkeit:

ChallengeKeys, welche nur 1x gültig sind.

24.06.2004, 08:58

> c) Problematisch
problematisch nur bei AOL - der Load-Balancer bedient sich mehrerer Proxies
amsonsten ist die Gefahr aus den "eigenen Reihen" natürlich sehr gross.

> d) Kann vom Client manipuliert werden
ja, klar. aber diese Informationen muss der "Angreifer" ebenfalls mitbekommen.

> e) Stichtwort Proxy :) Gibt auch Clients die das nicht sauber können
was? Proxy? ;-)

> f) ChallengeKeys, welche nur 1x gültig sind.
jaein... es gilt nur für Links die angeklickt wurden. Aber was ist mit den Links die Übertragen wurden (also in einer HTML-Seite) aber noch nicht angeklickt? die haben doch Ihre Gültigkeit. Was machst du, wenn jemand den Back-Button betätigt? Ausserdem würde es einen enormen Aufwand bedeuten, die Session-session-Keys zu verwalten.

24.06.2004, 09:50

Maximale Sicherheit ohne SSL

Code:

session.use_cookies = 1, 
session.use_only_cookies = 1, (<= keine Kekse - keine Arme)  
session.use_trans_sid = 0, (<= keine Kekse - keine Arme)

Zitat:

Das Session-Modul bietet keine Garantie dafür, dass Informationen, die Sie in einer Session speichern, nur vom Benutzer gesehen werden können, der die Session erzeugt hat. Sie müssen zusätzliche Maßnahmen ergreifen, um die Integrität der Session ihrer Wichtigkeit entsprechend angemessen aktiv zu schützen.

Schätzen Sie die Wichtigkeit der Daten ab, die in Ihren Sessions transportiert werden und treffen Sie zusätzliche Schutzmaßnahmen -- in der Regel bezahlen Sie dafür mit einer geringeren Benutzerfreundlichkeit. Wenn Sie z.B. Benutzer vor einfachen Social Engineering Tactics (Anm. des Übersetzers: Techniken der Ausnutzung menschlicher Schwächen) schützen wollen, müssen Sie session.use_only_cookies aktivieren. Cookies müssen dann benutzerseitig auf jeden Fall aktiviert sein, weil Sessions sonst nicht funktionieren.

Es gibt mehrere Wege, über die eine Sessio-ID an Dritte gelangen kann. Eine entführte Session-ID ermöglicht diesen, auf alle Daten zuzugreifen, die mit dieser Session-ID verbunden sind. Erstens sind das URLs, die Session-IDs enthalten. Wenn Sie auf eine externe Site verweisen, könnte die URL inklusive Session-ID in den Referrer-Logs der externen Site gespeichert werden. Zweitens kann ein aktiverer Angreifer Ihren Netzwerkverkehr abhören. Falls Ihr Netzwerkverkehr nicht verschlüsselt ist, werden Session-IDs im Klartext über das Netzwerk übertragen. Hier ist die Lösung, auf Ihrem Server SSL zu implementieren und die Verwendung für Ihre Benutzer obligatorisch zu machen.

Quelle: http://www.php.net/manual/de/ref.session.php

Wenn man den Zugriff über Session-Cookie begrenzt

sollte auch für eine 'client'seitige Fehlermeldung bei gesperrten Cookies gesorgt sein.

Wie sowas geht

http://www.dclp-faq.de/q/q-sessions-cookie.html

24.06.2004, 10:14

> Maximale Sicherheit ohne SSL
Nein, leider falsch. Cookies schützen zwar vor Kopieren der URLs - sie schützen jedoch nicht davor, eine Session zu übernehmen wenn jemand in der Lage ist, den Verkehr abzuhören oder zugriff auf den Proxy besitzt. In beiden Fällen werden Cookies in Plaintext übertragen - der Schutz gegen Wiedereinspielen ist also hier auch nicht vorhanden. Du musst also gezwungenermassen, mit dem Arbeiten was du hast. Also die Informationen die du von dem Client bekommst.
Das einzige was hilft, ist tatsächlich nur SSL mit Cookie-Session-Handling...

24.06.2004, 10:20

Zitat:

> Maximale Sicherheit ohne SSL
Nein, leider falsch.

Ähm

Nichts ist ohne SSL sicher im WEB

Da hast Du mich wohl mißverstanden, ich wollte nicht sagen dass man sich mit oben gezeigtem Vorgehen einen SSL erspart.

Steht ja auch deutlich im TEXT

MrMarco · 24.06.2004, 10:44

Ok. SSL ist eigentlich die einzigste Sinnvolle Möglichkeit. Alles andere sind Klimmzüge, welche auch nur wenig Erfolg haben.

Am besten zu einem Anbieter wie HostEurope wechseln, die selbst bei den billigen Webspaces schon SSL-Proxys anbieten.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Sicherheitsproblem...	pck1983	PHP Tipps 2008	16	13.06.2008 15:39
Googlebot hängt ungewollt PHPSESSID an die Url	hackenbusch	PHP Tipps 2007	1	16.12.2006 12:45
PHPSESSID in Navigationslink	ruferp	PHP Tipps 2006	4	11.08.2006 10:32
Problem mit PHPSESSID	Jacks Rache	PHP Tipps 2006	7	19.03.2006 17:00
phpsessid bei flash menü übergeben		PHP Tipps 2005-2	2	16.09.2005 16:01
ungewollte PHPSESSID		PHP Tipps 2005	16	18.02.2005 16:06
ACHTUNG!!! Sicherheitsproblem		PHP Tipps 2004	2	06.10.2004 10:28
need Help zu PHPSESSID vs valid XHTML		PHP Tipps 2004	2	22.07.2004 16:47
[Erledigt] PHPSESSID bei den Cookies...		PHP-Fortgeschrittene	3	07.06.2004 09:40

24.06.2004, 00:30
unknownsoul Benutzer Registriert seit: 13.08.2003 Beiträge: 46	PHPSESSID über URL ist ein sch Sicherheitsproblem! hi leute, also folgendes problem bei mir, wenn ich mich bei meinem script einlogge schicke ich an jede weitere datei die PHPSESSID über die url mit. damit identifiziere ich den user in der datenbank, die PHPSESSID wird temporär mitgespeichert und alles funktioniert einwandfrei. so weit so gut, aber wenn ich den link jemand schicke und er sich auch einloggt mit seinen daten kann er mit meinem link (in dem ja meine PHPSESSID ist) auf mein profil zugreifen und z.b. daten löschen, vorrausgesetzt er ist auch angemeldet. wie kann ich dieses problem umgehen?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

24.06.2004, 08:36
Gast Beiträge: n/a	c) an die IP-Adresse binden <- nicht immer zu empfehlen, stichwort Proxies d) mit zusätzlichen Informationen binden -> also User-Agent, accept_languages etc. e) mit referern arbeiten -> link ohne referer == neue session ...nur so als Ideen ;-)

24.06.2004, 08:41
Gast Beiträge: n/a	ich hab das problem mit sessions gelöst. ich glaub das ist nicht die schlechteste lösung. mfg topec

24.06.2004, 08:58
Gast Beiträge: n/a	> c) Problematisch problematisch nur bei AOL - der Load-Balancer bedient sich mehrerer Proxies amsonsten ist die Gefahr aus den "eigenen Reihen" natürlich sehr gross. > d) Kann vom Client manipuliert werden ja, klar. aber diese Informationen muss der "Angreifer" ebenfalls mitbekommen. > e) Stichtwort Proxy :) Gibt auch Clients die das nicht sauber können was? Proxy? ;-) > f) ChallengeKeys, welche nur 1x gültig sind. jaein... es gilt nur für Links die angeklickt wurden. Aber was ist mit den Links die Übertragen wurden (also in einer HTML-Seite) aber noch nicht angeklickt? die haben doch Ihre Gültigkeit. Was machst du, wenn jemand den Back-Button betätigt? Ausserdem würde es einen enormen Aufwand bedeuten, die Session-session-Keys zu verwalten.

24.06.2004, 10:14
Gast Beiträge: n/a	> Maximale Sicherheit ohne SSL Nein, leider falsch. Cookies schützen zwar vor Kopieren der URLs - sie schützen jedoch nicht davor, eine Session zu übernehmen wenn jemand in der Lage ist, den Verkehr abzuhören oder zugriff auf den Proxy besitzt. In beiden Fällen werden Cookies in Plaintext übertragen - der Schutz gegen Wiedereinspielen ist also hier auch nicht vorhanden. Du musst also gezwungenermassen, mit dem Arbeiten was du hast. Also die Informationen die du von dem Client bekommst. Das einzige was hilft, ist tatsächlich nur SSL mit Cookie-Session-Handling...

24.06.2004, 10:44
MrMarco Erfahrener Benutzer Registriert seit: 17.10.2003 Beiträge: 243	Ok. SSL ist eigentlich die einzigste Sinnvolle Möglichkeit. Alles andere sind Klimmzüge, welche auch nur wenig Erfolg haben. Am besten zu einem Anbieter wie HostEurope wechseln, die selbst bei den billigen Webspaces schon SSL-Proxys anbieten.