|
|
|
|
|
29.10.2008, 20:40
|
#1 (permalink) |
|
Erfahrener Benutzer
Registriert seit: 24.04.2008
Beiträge: 2.502
PHP-Kenntnisse: Anfänger   |
Sessions und die Sicherheit. Verständnisfrage.
Hallo Leute.
Da mich das Thema Sessions und Sicherheit immer beschäftigt bin ich auf diesen Artikel hier gestoßen. Session Sicherheit - Forum: phpforum.de Einiges davon habe ich mir schon angelesen. Zu einem Punkt habe ich eine Frage. Und zwar zu dem wo die Session Id bei jedem Request erneuert wird durch das session_regenerate_id(). Wenn ein User nun eigeloggt ist bekommt er ja eine session_id() und kann sich nun in gewissen Bereichen bewegen. Wenn nun aber die session_id regeneriert wird,wird er da nicht ausgeloggt,weil die session_id ja anders ist? Oder verstehe ich da im Zusammenhang was falsch? Ich danke euch das ihr mir Licht ins dunkel bringt  .mfg der litter |
|
|
|
|
PHP Code Flüsterer
Registriert seit: 21.08.2005
Beiträge: 4682
PHP-Kenntnisse:
Fortgeschritten
|
|
|
29.10.2008, 20:42
|
#2 (permalink) | ||
|
moderatives Dielektrikum
Registriert seit: 21.05.2008
Beiträge: 26.137
PHP-Kenntnisse: Fortgeschritten  |
Nach jedem Request ist das Quatsch. Und - nein, das verwaltet der Server (also PHP) schon so, dass die Zuordnung zum User erhalten bleibt.
Wichtig ist eine Änderung nach dem Login, sonst könnte Dir jemand eine Session über einen Link mit Session-GET-ID unterschieben (Session-Fixation). session_regenerate_id Zitat:
Zitat:
PS: Noch nicht gelesen, sieht aber gut aus: Session-Angriffe - eine Analyse an PHP | PHP MySQL rapid prototyping & Sicherheit Geändert von nikosch (29.10.2008 um 20:50 Uhr). |
||
|
|
29.10.2008, 20:49
|
#4 (permalink) |
|
moderatives Dielektrikum
Registriert seit: 21.05.2008
Beiträge: 26.137
PHP-Kenntnisse: Fortgeschritten |
Ja. Aber probiers doch einfach aus.
Siehe edit oben.
__________________
-- „Eins ist Fakt: Gescannt wird nackt!“ Privatsphäre 2.0 - Nacktscanner mit Eyetracking. Unser Flugzeug darf kein geschlechtsfreier Raum sein. -- |
|
|
|
29.10.2008, 20:54
|
#5 (permalink) |
|
Supermoderator
Registriert seit: 16.03.2008
Beiträge: 6.749
PHP-Kenntnisse: Fortgeschritten |
Du solltest es zudem besser machen, als vBulletin.
Ich verbinde mich z.B. nicht immer von zu Hause aus, sondern durchaus auch von anderen Computern. Wenn ich mich auf PC 1 verbinde, und mich dann auf PC 2 einlogge, bleibt der Autologin-Code von PC 1 immer noch gültig. Ich kann mich also auf beliebig vielen Systemen einloggen und für ewig eingeloggt bleiben. Für mich ganz praktisch, aber fatal wird es, wenn ich mal vergesse, mich auszuloggen. Also entweder die IP prüfen (doof für Leute mit Proxy, der die IPs laufend wechselt) oder (das ist das Mindeste) nach jedem Login die Auto-Login-ID sowie natürlich die Session-ID neu generieren.
__________________
Take your Linux to the next level with Refining Linux! |
|
|
|
29.10.2008, 21:03
|
#6 (permalink) |
|
Erfahrener Benutzer
Registriert seit: 24.04.2008
Beiträge: 2.502
PHP-Kenntnisse: Anfänger |
Nunja ich mache es generell nicht in meinen Anwendungen das man eingeloggt bleiben kann,ich finde dieser Luxus ist unnütz und die Zeit sich neu einzuloggen hat jeder.
Hey Nikosch da war ich grad am lesen,durch wikipedia hingekommen. Aber heute lese ich nüscht mehr,weil ich das heute nicht mehr schnalle. |
|
|
|
29.10.2008, 21:07
|
#7 (permalink) |
|
Supermoderator
Registriert seit: 16.03.2008
Beiträge: 6.749
PHP-Kenntnisse: Fortgeschritten |
Vor allem bei Foren finde ich das sehr praktisch. Trotz Secure-Login, was mir einen Login per Knopfdruck ermöglicht, finde ich es ätzend, nach kurzer Zeit feststellen zu müssen, dass die Session abgelaufen ist.
Aber man muss den Nutzen der Funktion für die aktuelle Anwendung immer abwägen, da sie ein Sicherheitsrisiko ist. Für Online-Banking-Seiten ist das zum Beispiel undenkbar.
__________________
Take your Linux to the next level with Refining Linux! |
|
|
|
30.10.2008, 09:39
|
#8 (permalink) | |
|
Erfahrener Benutzer
Registriert seit: 01.12.2003
Beiträge: 2.557
PHP-Kenntnisse: Anfänger |
Zitat:
__________________
Gruß JEGO  Ein PHP Script tut, was Du schreibst, nicht was Du willst. |
|
|
|
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen
|
||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Login-System ohne Sessions ratsam? | MauMau | PHP Tipps 2008 | 4 | 02.09.2008 12:09 |
| [Erledigt] Sessions und Sicherheit | Wolla | PHP Tipps 2008 | 16 | 01.08.2008 19:33 |
| Erfahrung mit Sessions ( Sicherheit ) | GELight | PHP Tipps 2006 | 6 | 11.08.2006 17:55 |
| 2 Sessions | Kein Genie | PHP Tipps 2006 | 8 | 21.07.2006 15:45 |
| sessions ip gebunden ? | notyyy | PHP Tipps 2006 | 14 | 19.01.2006 09:07 |
| [Erledigt] probleme mit sessions | PHP Tipps 2007 | 1 | 17.11.2005 10:43 | |
| [Erledigt] Nach Einfügugng der Sessions funktioniert mein Program nicht | PHP-Fortgeschrittene | 1 | 02.10.2005 06:13 | |
| Sessions! | DER_Brain | PHP Tipps 2005-2 | 5 | 30.06.2005 14:51 |
| 2 Sessions? | PHP Tipps 2005 | 5 | 29.04.2005 19:04 | |
| Proble mit Sessions | PHP Tipps 2005 | 7 | 07.02.2005 17:42 | |
| Sicherheit von Sessions | Mano | PHP Tipps 2004-2 | 7 | 30.11.2004 15:20 |
| Technische Probleme mit Sessions | PHP-Fortgeschrittene | 4 | 18.11.2004 14:45 | |
| Sessions und ZoneAlarm | PHP Tipps 2004 | 4 | 25.08.2004 17:35 | |
| [Erledigt] Usermanagement mit Sessions - Sicherheitsprobleme ? | PHP Tipps 2004 | 0 | 30.06.2004 09:49 | |
| [Erledigt] Sessions, sessions und nochmal sessions | PHP-Fortgeschrittene | 0 | 06.06.2004 00:36 | |
