Login mit Session und Cookies? Sicherste Möglichkeit?

DarkSky25 · 29.03.2009, 11:26

Hi
ich bin dabei einen sicheren Login-Bereich zuentwerfen. Jedoch habe ich noch ein paar Fragen:

Wenn ich einen Script entwerfe, welches Session benutzt und dann eine zufällige Session-ID generiert, welche dann bei dem User als Cookie gespeichert wird. Diese Session-ID ist nur eine begrenzte Zeit gültig und wird in der Datenbank gespeichter und dann nach dem Ablauf wieder gelöscht.

Das ist mir irgendwie nicht sicher genug. Ein Hacker könnte die ID irgendwie klauen oder so. Ist es nicht möglich die ID noch um irgendwas zu erweitern?
oder gibt es sonst noch eine gute Erweiterung? Ich brauche halt irgendwelche Tipps noch und muss das Skript verbessern.

Hier habe ich noch ein Skript: http://de.php.net/manual/de/function.session-start.php
Ist das sicher genug? Also ich investiere gerne viel Zeit in den Login Skript damit er so sicher wie möglich wird.

Freue mich auch KONSTRUKTIVE Antworten.

dr.e. · 29.03.2009, 16:23

-> Google + Foren-Suche. Das Thema wurde bereits zur Genüge diskutiert.

DarkSky25 · 29.03.2009, 18:56

Leider wurde da aber nur gesagt, dass man es mit Cockies oder Session machen könnte.

Was nun aber sehr sicher ist, wurde nicht erwähnt.

David · 29.03.2009, 19:24

Zitat:

Das ist mir irgendwie nicht sicher genug. Ein Hacker könnte die ID irgendwie klauen oder so. Ist es nicht möglich die ID noch um irgendwas zu erweitern?

Und um was? Das ist dann doch auch nur wieder eine Zeichenkette, die genauso "geklaut" werden kann, wie die vorherige Zeichenkette.

Bei jedem Login session_regenerate_id() verwenden.
httponly auf true setzen, zum Beispiel mit session_set_cookie_params
Nur cookies akzeptieren, siehe PHP: Runtime Configuration - Manual
Nur Session-Cookies mit der Lebensdauer 0 verwenden.
ggf. IP und user-agent beim Login in _SESSION speichern und bei jedem Request vergleichen (aber mindestens den IP-Check beim Login abschaltbar machen).
Gegen Angreifer im selben Netz https verwenden (und da hilft der Vergleich der IP auch wenig, router/NAT->selbe IP)

Gibt sicherlich noch mehr Maßnahmen.

DarkSky25 · 30.03.2009, 17:59

Habt ihr noch mehr Ideen? Also noch so eine Art super Lösung :P

nikosch · 30.03.2009, 18:16

Niemals online gehen.

DarkSky25 · 30.03.2009, 18:25

omfg -.- THX werd's anwenden

nikosch · 30.03.2009, 18:28

Die Antwort war so gut wie die Frage

Es gibt keine Superlösung, weil Sicherheitsaspekte immer ein Wettlauf zwischen Unterbinden und Umgehen sind. Gerade in einem offenen Netz mit zustandslosen Protokollen gilt das.
Es gibt keine totale Sicherheit und Sec-Maßnahmen wie oben beschrieben müssen immer
- mit viel Arbeit umgesetzt werden (Programmierung = Handwerk)
- in Aufwand/Nutzen abgewogen werden
- getestet und hinterfragt werden
- auf den neuesten Stand gebracht werden

solariz · 03.04.2009, 15:35

Nikosch trifft es mit der Aussage zu 100%.

Um eine SSID "abzusichern" mach einfach das bereits genannte:
- session regenerate
- Überprüfung gegen Browser / OS / ggf. IP Wobei ich hier niemals gegen die Volle IP Prüfen würde maximal ###.###.###.*
- Cookie HTTP Only
- keine Übergabe per GET oder POST erlauben

Zusätzlich könntest du für die Daten wie die login.php per .htaccess rule definieren das nur gültige UA`s zugreifen dürfen sowie nur http 1.0 / 1.1 zugriffe gestattet sind. Wenn das alles berücksichtigt wurde steht du zumindest schon mal nicht im Regen.

Aber man kann immer nur wiederholen; eine 100% Sicherheit gibt es nicht. Es gilt immer den Aufwand für potenzielle Angreifer so hoch wie möglich zu halten denn ab einem gewissem Aufwand lohnt es sich eben nicht mehr.

donald123 · 03.04.2009, 19:01

wobei du bitte diesen Unfug unbeachtet lässt

>>Überprüfung gegen Browser / OS / ggf. IP Wobei ich hier niemals gegen die Volle IP Prüfen würde maximal ###.###.###.*

und falls solariz mit UA (UserAgents) meint, kannst du diesen Satz auch ignorieren
>>Zusätzlich könntest du für die Daten wie die login.php per .htaccess rule definieren das nur gültige UA`s ....

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
SessionHandler - Sessions in einer Datenbank	#Avedo	Software-Design	11	04.05.2009 15:44
Dauerhafter Login durch Cookies	TeazY	PHP Tipps 2009	19	18.02.2009 12:39
Login, Session und der ganze Rest	nikosch	PHP Tipps 2007	10	25.03.2007 05:48
[Erledigt] Login funktioniert nicht wenn cookies deaktiviert drotz sess		PHP Tipps 2006	3	31.10.2006 13:34
Etwas komplexerer Login --> Keine Angst, Suche benutzt	dethlef14	PHP Tipps 2006	7	02.10.2006 00:35
Session Logout Login Navigation	TailerD	PHP Tipps 2006	10	24.06.2006 17:12
Login Script mit Cookies	Disasterp1ece	PHP Tipps 2006	2	21.03.2006 13:40
Session Name + Cookies		PHP Tipps 2006	2	23.02.2006 14:08
Session Login	LA-Finest	PHP Tipps 2005-2	4	05.07.2005 10:46
login mit cookies - Server schuld?		PHP Tipps 2005	19	03.06.2005 01:12
login mit session id		PHP Tipps 2005	10	26.01.2005 12:32
session start nur bei jedem 2. login		PHP Tipps 2004-2	9	16.12.2004 13:39
Session und Cookies?	horvath-media	PHP Tipps 2004	2	13.10.2004 16:09
Session Login funkt nicht, wenn Cookies immer aus sind	schifti	PHP-Fortgeschrittene	18	06.09.2004 07:48
Probleme mit Session ohne Cookies		PHP Tipps 2004	6	06.06.2004 15:55

29.03.2009, 11:26
DarkSky25 Neuer Benutzer Registriert seit: 29.03.2009 Beiträge: 15	Login mit Session und Cookies? Sicherste Möglichkeit? Hi ich bin dabei einen sicheren Login-Bereich zuentwerfen. Jedoch habe ich noch ein paar Fragen: Wenn ich einen Script entwerfe, welches Session benutzt und dann eine zufällige Session-ID generiert, welche dann bei dem User als Cookie gespeichert wird. Diese Session-ID ist nur eine begrenzte Zeit gültig und wird in der Datenbank gespeichter und dann nach dem Ablauf wieder gelöscht. Das ist mir irgendwie nicht sicher genug. Ein Hacker könnte die ID irgendwie klauen oder so. Ist es nicht möglich die ID noch um irgendwas zu erweitern? oder gibt es sonst noch eine gute Erweiterung? Ich brauche halt irgendwelche Tipps noch und muss das Skript verbessern. Hier habe ich noch ein Skript: http://de.php.net/manual/de/function.session-start.php Ist das sicher genug? Also ich investiere gerne viel Zeit in den Login Skript damit er so sicher wie möglich wird. Freue mich auch KONSTRUKTIVE Antworten.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.03.2009, 16:23
dr.e. Moderator und Wett-König Registriert seit: 21.05.2008 Beiträge: 3.657 PHP-Kenntnisse: Fortgeschritten	-> Google + Foren-Suche. Das Thema wurde bereits zur Genüge diskutiert. __________________ Viele Grüße, Dr.E. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. Think about software design before you start to write code! 2. Discuss and review it together with experts! 3. Choose good tools (-> Adventure PHP Framework (APF))! 4. Write clean and reusable software only! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

29.03.2009, 18:56
DarkSky25 Neuer Benutzer Registriert seit: 29.03.2009 Beiträge: 15	Leider wurde da aber nur gesagt, dass man es mit Cockies oder Session machen könnte. Was nun aber sehr sicher ist, wurde nicht erwähnt.

30.03.2009, 17:59
DarkSky25 Neuer Benutzer Registriert seit: 29.03.2009 Beiträge: 15	Habt ihr noch mehr Ideen? Also noch so eine Art super Lösung :P

30.03.2009, 18:16
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Niemals online gehen. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

30.03.2009, 18:25
DarkSky25 Neuer Benutzer Registriert seit: 29.03.2009 Beiträge: 15	omfg -.- THX werd's anwenden

30.03.2009, 18:28
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Die Antwort war so gut wie die Frage Es gibt keine Superlösung, weil Sicherheitsaspekte immer ein Wettlauf zwischen Unterbinden und Umgehen sind. Gerade in einem offenen Netz mit zustandslosen Protokollen gilt das. Es gibt keine totale Sicherheit und Sec-Maßnahmen wie oben beschrieben müssen immer - mit viel Arbeit umgesetzt werden (Programmierung = Handwerk) - in Aufwand/Nutzen abgewogen werden - getestet und hinterfragt werden - auf den neuesten Stand gebracht werden __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

03.04.2009, 15:35
solariz Neuer Benutzer Registriert seit: 08.01.2007 Beiträge: 20	Nikosch trifft es mit der Aussage zu 100%. Um eine SSID "abzusichern" mach einfach das bereits genannte: - session regenerate - Überprüfung gegen Browser / OS / ggf. IP Wobei ich hier niemals gegen die Volle IP Prüfen würde maximal ###.###.###.* - Cookie HTTP Only - keine Übergabe per GET oder POST erlauben Zusätzlich könntest du für die Daten wie die login.php per .htaccess rule definieren das nur gültige UA`s zugreifen dürfen sowie nur http 1.0 / 1.1 zugriffe gestattet sind. Wenn das alles berücksichtigt wurde steht du zumindest schon mal nicht im Regen. Aber man kann immer nur wiederholen; eine 100% Sicherheit gibt es nicht. Es gilt immer den Aufwand für potenzielle Angreifer so hoch wie möglich zu halten denn ab einem gewissem Aufwand lohnt es sich eben nicht mehr.

03.04.2009, 19:01
donald123 Erfahrener Benutzer Registriert seit: 17.02.2009 Beiträge: 120 PHP-Kenntnisse: Fortgeschritten	wobei du bitte diesen Unfug unbeachtet lässt >>Überprüfung gegen Browser / OS / ggf. IP Wobei ich hier niemals gegen die Volle IP Prüfen würde maximal ###.###.###.* und falls solariz mit UA (UserAgents) meint, kannst du diesen Satz auch ignorieren >>Zusätzlich könntest du für die Daten wie die login.php per .htaccess rule definieren das nur gültige UA`s ....