nikosch

Hallo liebes Forum,

bisher scheue ich mich noch einen Blick in den PHP-Quellcode zu werfen (bzw. diesen herunterzuladen), deshalb meine Frage:
Weiß jemand, welchen Mechanismus PHP verwendet, um SessionIDs zu generieren? Ich meine damit mehr als nur die Tatsache, daß es sich um einen md5 Hash handelt? Die Dokumentation schweigt sich darüber leider aus. Und stellt das PHP Sessionmanagement eigentlich sicher, daß bei session_start() eine bereits existente sess_... Datei nicht überschrieben wird (so unwahrscheinlich dieser Fall auch ist sollte das eigentlich sein).

Konkret geht es darum, eine Alternative der leider erst in php5 vorhandenen session_regenerate_id () Funktion zu programmieren um eine wirkungsvolle Trennung von public und private Nutzern zu realisieren.

Danke im Voraus
--n

Mister Ad

Trau Dich ruhig ran. Ist kein chinesisch und auch ohne tiefere C-Kenntnisse zu verstehen...

http://lxr.php.net/source/php-src/ex.../session.c#557

axo

misch dich nicht in die interna der sessionbehandlung ein, und knüpfe die bedingung, ob ein user 'public' oder 'private' ist, nicht an die existenz einer session an. das hat viele gründe.
setze eine session-variable, z.b. $_SESSION['userID'], wenn sich der user einloggt, und lösche diese variable wieder, wenn sich der user ausloggt. die session bleibt die gleiche.

auch nach 6 jahren täglicher programmierung ist mir wirklich (!!!) noch kein sinnvoller grund eingefallen, session_regenerate_id() verwenden zu müssen. du wirst es also mit sicherheit auch nicht brauchen.

grüße
axo

nikosch

@axo
Die session_regenerate_id() sollte im Hinblick auf Session Fixation verwendet werden.
Die Umgebung soll verschiedene User-Stati verwenden, 'public-Modus' um anwendungsspezifische Steuerdaten zu speichern (ohne jegliche Sicherheitsrelevanz, ohne Bindung an Usernamen und dergleichen), 'private' um eingeschränkte Nutzerbereiche zu definieren. Selbige sind nur für einen bestimmten UserStatus (in Session gespeichert) sichtbar (Vergabe erfolgt durch DB-Anfrage während des Logins), die eigentliche Authentifizierung erfolgt bei Aufruf dann über einen Datenbank-Abgleich (Status-zu-Useridentität), die dazu ebenfalls in der Session ID gespeicherte md5's von UserName und UserPasswd übermittelt bekommt. Als Restrisiko verbleiben die Klartext-Datenübertragung aus dem Loginformular und evl. Sessiondiebstahl/Bruteforceing.

Die eigentliche Gefahr liegt in der Statusänderung. Da jedermann eine public Session zugewiesen bekommt, könnte er sie (während er die Session am Leben hält) einem Nutzer unterschieben und durch dessen Anmeldung einen höheren Nutzerstatus erreichen, die betr. SessionID ist ihm ja bekannt.

Sicher wäre es genauso möglich getrennte Speicherbereiche dür die SessionIDs zu benutzen, ich hielt session_regenerate_id () für die elegantere Methode.

Ich bin für Hinweise auf solche Gründe stets offen, vor allem wenn jemand jahrelange Praxiserfahrung, sicher auch in Punkto PHP Sicherheit gesammelt hat.


@karl-150
Danke für den Link, werde mich in ner ruhigen Minute mal damit befassen...

--n

KingCrunch

Och, kann net schaden, auch wenn mans net checkt
Is recht einfach: Parallel wird noch auf die Existenz der sess_*-Datei und auf die Gültigkeit selbiger geprüft.
Konkret versteh ich auch net, warum das wirkungsvoller sein soll ^^
Du kannst zB damit Session-Diebstahl minimieren. Ebenso wird der Cookie erneuert, falls es damit Schwierigkeiten gab (welche auch immer ). Die Anwendungsgebiete dürften auch recht gering sein.

__________________
Nicht jeder Fehler ist ein Bug.

xabbuh

session_regenerate_id() existiert seit PHP 4.3.2. Das sollte doch ausreichend sein.

nikosch

Aber erst seit 5.1.0 mit dem Parameter die alte Session zu entfernen...

Basti

Hi.

session_regenerate_id() sollte bei jedem Neustart einer Session und be jedem Statuswechsel des Benutzers durchgeführt werden.

Du könntest die Funktion natürlich von Hand nachbauen, denn die Session-Dateien sind ja les- und schreibbar (und umbenennbar - aber erst Link setzen, um Race Conditions auszuschließen). Aber eigentlich sollte es doch reichen, wenn du $_SESSION leerst und dann session_regenerate_id() ohne den zweiten Parameter aufrufst. Zumindest kannst du das ja leicht testen, ob die alte Session-Datei dann auch wirklich leer ist. Und der Keks wird ja überschrieben.

Basti

axo

ich sehe den sinn dahinter immer nicht. $_SESSION = array(); reicht, um einen kompletten statuswechsel zu generieren - je nachdem wie der rest des codes aussieht. da kann jemand die session klauen, wie sie lustig ist. ne, leuchtet mir noch nicht ein.

xabbuh

Nimm an, jemand baut auf seiner Seite einen Link zu deiner Seite ein, generiert aber vorher eine Sessionid (meinetwegen 123456), die er dem Link mitgibt und loggt diese Sessionid mit. Nachdem du dich nun auf deiner Seite eingeloggt hast, kann der Angreifer deine Session einfach übernehmen, da ihm die Sessionid ja bereits bekannt ist.

Das lässt sich sehr einfach nachbauen (Beispiel ursprünglich von ignatz, ich finde leider den entsprechenden Beitrag nicht mehr wieder):