Erfahrung mit Sessions ( Sicherheit )

GELight · 11.08.2006, 13:09

Was sind eure Erfahrungen zur Sicherheit im Bezug auf das nutzen von Sessions? Ich persönlich kenne im Vergleich nichts, was sicherer wäre als eine Session zu nutzen.
Kann man sagen, dass eine Session oder bzw. die Variablen darin relativ sicher vor Hackerangriffen sind?
Ich habe mir mit der zeit ein paar kleine Ideen ausgedacht eine Seite noch besser vor angriffen zu schützen aber brauche dafür natürlich eine Session, wo alles drin gespeichert wird.

Wie sind eure Erfahrungen im Bezug auf Sicherheit?
Das Problem ist immer, wenn man nicht weiß, mit welchen Mitteln und über welche Wege ein Angriff stattfindet, dann weiß man auch nicht, wie man die Seite schützen muss.

Okay... grundlegend sage ich immer "wenn jemand irgendwas ernsthaft hacken will, dann schafft er das auch".... nur soll es im Normalfall nicht gleich jeder kleine Möchtegernhacker mit ein paar kopierten Scripts aus dem Inet schaffen. Wenn Ihr versteht was ich meine.
Oder kennt Ihr ein paar Seiten oder dergleichen, wo mal etwas auf sowas eingegangen wird, dass man weiß, worauf man auf jeden Fall achten muss oder sollte?

Mario

KingCrunch · 11.08.2006, 13:25

Die Sicherheit von Sessions wird klar, wenn man sich die Arbeitsweise der Session anschaut. Sessions speichern Daten server-seitig, sind damit schon mal wesentlich sicherer als GET-Daten oder versteckte Formular-Felder. Sessions werden eindeutig durch die Session-ID (SID) identifiziert und gestartet/wieder aufgenommen. Die Sicherheit muss nun noch an zwei Punken greifen:
1. Niemand darf an die Session-Daten vom Server gelangen. Das ist ziemlich einfach zu machen, da man das einfach über Dateirechte und Sichtbarkeit nach aussen regeln kann.
2. Niemand darf an die SID gelangen, solange die Session existiert. Das ist der Knackpunkt.
Die Session-ID wird bevorzugt in einem Cookie abgelegt, welches der Browser bei jeden Aufruf der Seite mitsendet. Manchmal allerdings wird die SID noch in der URL weiter getragen. In beiden Fällen (im ersten schwerig, im zweiten leichter bei unvorsichtigen Nutzern) is das eine Gefahr.

Denkbar wäre es noch die Session durch zusätzliche Mittel als die SID an den Nutzer zu koppeln, wie die IP.

Clint · 11.08.2006, 13:27

Hi,
1.) an den Variablen kann der User nicht ändern da er nur die session_id hat
2.) Sessions können geklaut werden...
3.) wie sicher willst du es haben bzw. was willst du sichern??

GELight · 11.08.2006, 14:12

Okay... soweit klar.
Die Session ist nicht in der URL verfügbar.
Wenn Sessions geklaut werden können.... WIE können diese geklaut werden?
Was nützt einem User die SID, wenn er diese haben sollte?
Wie sicher ich es haben will.... hmm so sicher es von meiner Seite aus zu machen ist.

Ich will zB . verhindern, dass ein fremder einfach so über meine Variablen, die ich per GET oder POST nutzen muss, irgendwerlchen Schund treiben kann. Über Formulare und deren Variablen ist ja der Angriffspunkt Nr.1 oder irre ich da?

Mario

KingCrunch · 11.08.2006, 14:36

Nein, irrst da nicht. Sämtliche Daten, die von aussen kommen, sind erstmal als "gefährlich" einzustufen.

Zitat:

Zitat von GELight

Was nützt einem User die SID, wenn er diese haben sollte?

Er kann di komplette Session übernehmen

Im schlimmsten Fall würde es bei einem Shop bedeuten, dass jemand auf jemand anderen Namen einkaufen könnte.

Zitat:

Zitat von GELight

Wenn Sessions geklaut werden können.... WIE können diese geklaut werden?

Durch die URL (verrausgesetzt die SID wird innerhalb dieser übertragen), durch Auslesen der Session-Daten auffn Server (was als Unwahrscheinlichkeit angesehen werden kann, solange man nicht grob fahrlässig handelt) oder durch Auslesen der Cookies auf Browser-Seite (was man gerne mal als selten dämmlich ansehen darf

Ne, also da muss scho irgendwie Virus oder ähnliches auftauchen).

Wie gesagt: Du kannst noch die Session direkt an bestimmte Kriterien binden, wie die IP oder ähnliches möglichst eindeutiges.

GELight · 11.08.2006, 14:54

Wie gesagt... die SID wird in meinem Fall nie über GET übertragen. Wüsste garnicht wofür das gut sein sollte.

Wie würde ich vorgehen um zusätzliche Daten daran zu binden?
Oder sprichst du hier die Abfrage der Session an, in der ich zusätzliche Daten mit abfragen kann?

Dennoch stell ich mir die Frage, WIE ein User meine Session bekommen kann.
Wie würde er dies nur mit der SID schaffen und wie würde er dies ohne schaffen können?

Mario

11.08.2006, 17:55

Zitat:

Zitat von GELight

Wie gesagt... die SID wird in meinem Fall nie über GET übertragen. Wüsste garnicht wofür das gut sein sollte.

Falls einer deiner Member keine Cookies zulässt

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

LinkBacks (?) LinkBack to this Thread: http://www.php.de/php-tipps-2006/41646-erfahrung-mit-sessions-sicherheit.html
Erstellt von	For	Type	Datum
LogIn-System - Space²	This thread	Refback	24.11.2008 18:27
LogIn-System - Space²	This thread	Refback	24.11.2008 18:23

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Programmierer mit Denic Erfahrung Gesucht	HeyItsMe	Beitragsarchiv	3	20.03.2008 20:00
Sessions und Logins	Faebe	PHP Tipps 2008	1	29.10.2007 09:04
2 Sessions	Kein Genie	PHP Tipps 2006	8	21.07.2006 15:45
[Erledigt] probleme mit sessions		PHP Tipps 2007	1	17.11.2005 10:43
[Erledigt] Nach Einfügugng der Sessions funktioniert mein Program nicht		PHP-Fortgeschrittene	1	02.10.2005 06:13
Sessions!	DER_Brain	PHP Tipps 2005-2	5	30.06.2005 14:51
2 Sessions?		PHP Tipps 2005	5	29.04.2005 19:04
[Erledigt] [PHP5 / W2k3 / IIS] Sessions funktionieren nicht		PHP-Fortgeschrittene	2	02.04.2005 00:39
Sessions	lomtas	PHP Tipps 2005	2	23.03.2005 10:30
Proble mit Sessions		PHP Tipps 2005	7	07.02.2005 17:42
Sicherheit von Sessions	Mano	PHP Tipps 2004-2	7	30.11.2004 15:20
Sessions auf Apache2 gehen nicht!		Server, Hosting und Workstations	1	27.09.2004 17:39
Sessions und Functions		PHP Tipps 2004	3	21.08.2004 10:38
[Erledigt] Usermanagement mit Sessions - Sicherheitsprobleme ?		PHP Tipps 2004	0	30.06.2004 09:49
[Erledigt] Sessions, sessions und nochmal sessions		PHP-Fortgeschrittene	0	06.06.2004 00:36

11.08.2006, 13:09
GELight Erfahrener Benutzer Registriert seit: 24.12.2004 Beiträge: 168 PHP-Kenntnisse: Anfänger	Erfahrung mit Sessions ( Sicherheit ) Was sind eure Erfahrungen zur Sicherheit im Bezug auf das nutzen von Sessions? Ich persönlich kenne im Vergleich nichts, was sicherer wäre als eine Session zu nutzen. Kann man sagen, dass eine Session oder bzw. die Variablen darin relativ sicher vor Hackerangriffen sind? Ich habe mir mit der zeit ein paar kleine Ideen ausgedacht eine Seite noch besser vor angriffen zu schützen aber brauche dafür natürlich eine Session, wo alles drin gespeichert wird. Wie sind eure Erfahrungen im Bezug auf Sicherheit? Das Problem ist immer, wenn man nicht weiß, mit welchen Mitteln und über welche Wege ein Angriff stattfindet, dann weiß man auch nicht, wie man die Seite schützen muss. Okay... grundlegend sage ich immer "wenn jemand irgendwas ernsthaft hacken will, dann schafft er das auch".... nur soll es im Normalfall nicht gleich jeder kleine Möchtegernhacker mit ein paar kopierten Scripts aus dem Inet schaffen. Wenn Ihr versteht was ich meine. Oder kennt Ihr ein paar Seiten oder dergleichen, wo mal etwas auf sowas eingegangen wird, dass man weiß, worauf man auf jeden Fall achten muss oder sollte? Mario


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

11.08.2006, 13:25
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Die Sicherheit von Sessions wird klar, wenn man sich die Arbeitsweise der Session anschaut. Sessions speichern Daten server-seitig, sind damit schon mal wesentlich sicherer als GET-Daten oder versteckte Formular-Felder. Sessions werden eindeutig durch die Session-ID (SID) identifiziert und gestartet/wieder aufgenommen. Die Sicherheit muss nun noch an zwei Punken greifen: 1. Niemand darf an die Session-Daten vom Server gelangen. Das ist ziemlich einfach zu machen, da man das einfach über Dateirechte und Sichtbarkeit nach aussen regeln kann. 2. Niemand darf an die SID gelangen, solange die Session existiert. Das ist der Knackpunkt. Die Session-ID wird bevorzugt in einem Cookie abgelegt, welches der Browser bei jeden Aufruf der Seite mitsendet. Manchmal allerdings wird die SID noch in der URL weiter getragen. In beiden Fällen (im ersten schwerig, im zweiten leichter bei unvorsichtigen Nutzern) is das eine Gefahr. Denkbar wäre es noch die Session durch zusätzliche Mittel als die SID an den Nutzer zu koppeln, wie die IP. __________________ Nicht jeder Fehler ist ein Bug.

11.08.2006, 13:27
Clint Erfahrener Benutzer Registriert seit: 18.11.2005 Beiträge: 126	Hi, 1.) an den Variablen kann der User nicht ändern da er nur die session_id hat 2.) Sessions können geklaut werden... 3.) wie sicher willst du es haben bzw. was willst du sichern?? __________________ http://www.rentmyphone.com

11.08.2006, 14:12
GELight Erfahrener Benutzer Registriert seit: 24.12.2004 Beiträge: 168 PHP-Kenntnisse: Anfänger	sicherheit Okay... soweit klar. Die Session ist nicht in der URL verfügbar. Wenn Sessions geklaut werden können.... WIE können diese geklaut werden? Was nützt einem User die SID, wenn er diese haben sollte? Wie sicher ich es haben will.... hmm so sicher es von meiner Seite aus zu machen ist. Ich will zB . verhindern, dass ein fremder einfach so über meine Variablen, die ich per GET oder POST nutzen muss, irgendwerlchen Schund treiben kann. Über Formulare und deren Variablen ist ja der Angriffspunkt Nr.1 oder irre ich da? Mario

11.08.2006, 14:54
GELight Erfahrener Benutzer Registriert seit: 24.12.2004 Beiträge: 168 PHP-Kenntnisse: Anfänger	Wie gesagt... die SID wird in meinem Fall nie über GET übertragen. Wüsste garnicht wofür das gut sein sollte. Wie würde ich vorgehen um zusätzliche Daten daran zu binden? Oder sprichst du hier die Abfrage der Session an, in der ich zusätzliche Daten mit abfragen kann? Dennoch stell ich mir die Frage, WIE ein User meine Session bekommen kann. Wie würde er dies nur mit der SID schaffen und wie würde er dies ohne schaffen können? Mario