Ankündigung

Einklappen
Keine Ankündigung bisher.

1010: Bürokratie oder „Ich habe noch 'ne Sitzung…“

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • 1010: Bürokratie oder „Ich habe noch 'ne Sitzung…“

    1010:
    Sessions in PHP sind so eine Sache. An sich sollte man Session generell sein lassen und der User müsste sich bei jedem Request über eine SSL-Verbindung neu authentifizieren und das möglichst mit einem langen, wirklich zufälligen Passwort, das aus vielen verschiedenen Zeichen besteht, sodass es sich kein Mensch merken kann. Noch besser wäre es jedoch, User generell auszusperren, dann umgeht man jedes Risiko.
    Schon immer so gemacht? Nun, dann mache es weiter so und alle anderen, die trotz des bösen Users gerne Sessions benutzen wollen, ob nun selbst implementiert oder mit den Mitteln, die PHP von sich aus bietet, sollte sich auf jeden Fall einmal mit den möglichen Sicherheitslücken und den Angriffstechniken auf Sessions beschäftigen.
    Eine sehr gute und ausführliche Beschreibung davon findet ihr hier: Session-Angriffe - eine Analyse an PHP.
    Wer allgemein noch tiefer in die Welt der Sicherheitslücken, Security holes und Angriffsstellen einsteigen möchte, dem sei auch das Buch PHP-Sicherheit ans Herz gelegt.


  • #2
    das kommt ja wie gerufen
    damit wären wohl viele fragen meinerseits beantwortet ^^

    Kommentar


    • #3
      Es verkauft nicht zufällig jemand das Buch oder?
      "Nobody is as smart as everybody" - Kevin Kelly
      — The best things in life aren't things

      Kommentar


      • #4
        Amazon verkauft es
        Ne Scherz, ich hab es (zwar nur die 2.(?) Auflage), aber werde es auch behalten.
        Ist aber echt auf jedenfall zu empfehlen.

        Kommentar


        • #5
          So ein Beitrag hat auf jeden Fall gefehlt!

          Kommentar


          • #6
            @phpdummi: wünsche es dir doch zu Weihnachten.
            Refining Linux: “Performing Push Backups – Part 1: rdiff-backup

            Kommentar


            • #7
              ... oder ein SektionEins Consulting.
              Äh nein, doch lieber das Buch
              "Nobody is as smart as everybody" - Kevin Kelly
              — The best things in life aren't things

              Kommentar


              • #8
                Wer noch nicht so drauf geachtet hat: Auf der oben verlinkten Seite wird ein PDF angeboten, von dem Session-Sicherheit nur ein Teil ist. Das PDF beschreibt eine Vielzahl von weiteren Angriffsvektoren, die Websites betreffen: Email Header Injection, Cross Site Scripting etc. Also eine kleine Checkliste.
                --

                „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                --

                Kommentar


                • #9
                  die erste auflage hatte ich mal aus der stadtbücherei (Düsseldorf),
                  die 3. hatte ich mir später dann mal gekauft, ist wirklich zu empfehlen.

                  Kommentar

                  Lädt...
                  X