Ankündigung

Einklappen
Keine Ankündigung bisher.

Professioneller Login?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #91
    Zitat von Squall Beitrag anzeigen
    und das findest du weil?
    Weil du aus einem (angeblichen) Zeitpunkt einen Schluss zu ziehen versuchst, den dieser gar nicht hergibt.


    Das ist so, also wenn ich dich heute anrufe, und sage, „Hey, ich bin der, der dich gestern schon um 18 Uhr angerufen hat“. Ich sage dir weder meinen Namen (oder einen falschen), du kannst meine Stimme nicht erkennen, und eine Nummer wird auf dem Display auch nicht angezeigt. Und trotzdem willst du aus der Information, dass ich behaupte der zu sein, der gestern schon um 18 Uhr angerufen hätte, den Schluss ziehen, dass ich auch wirklich diese betreffende Person sei ...


    Und selbst wenn wir mal annehmen würden, dass das ein bisschen zusätzliche Sicherheit bringen würde (ich bezeifle es), handelst du dir damit bei nahezu „parallelen“ Requests leicht Probleme ein - wenn ich z.B. mehrere Links direkt hintereinander in verschiedenen Tabs öffne, dann kann das u.U. problematisch werden, weil diese Requests nicht seriell eintreffen oder beantwortet werden müssen, so dass du mich fälschlicherweise als nicht korrekt eingeloggt abweist, nur weil die Timestamps nicht sekundengenau übereinstimmen.

    Kommentar


    • #92
      Zitat von BlackScorp Beitrag anzeigen
      wozu das ganze? session_id() ist auf dem server eingestellt also wie lange die am leben ist, wenn der benutzer zb 15 minuten nichts auf der homepage macht, dann kriegste von der funktion ein false und müsstest ein login formular dem user anzeigen. nach der sich angemeldet hat, kannst du dann die session_id neu eintragen.
      Ich dachte eine Session hält unendlich`?

      Logout wäre dem Thread nach:
      PHP-Code:
      <?php
           session_start
      ();

      session_regenerate_id();
       
      mysql_query("hier dann SessionID aus DB entfernen");

           echo
      '
           Logout erfolgreich!
      '
      ;
      ?>
      MfG
      ~Capfly

      Kommentar


      • #93
        Zitat von Capfly Beitrag anzeigen
        Ich dachte eine Session hält unendlich`?
        Schon mal was von session lifetime oder timeout gehört?
        Es ist schon alles gesagt! Nur noch nicht von allen! (Karl Valentin)
        Wenn du eine weise Antwort verlangst, musst du vernünftig fragen. (Johann Wolfgang von Goethe)

        Kommentar


        • #94
          Zitat von dennis81 Beitrag anzeigen
          Schon mal was von session lifetime oder timeout gehört?
          In diesem Thread war zu lesen, eine Session ist unendlich, sicherlich gibt es Timeout Einstellungen, aber wenn diese nicht gesetzt werden?
          MfG
          ~Capfly

          Kommentar


          • #95
            Zitat von Capfly Beitrag anzeigen
            In diesem Thread war zu lesen, eine Session ist unendlich[...]
            Habe jetzt nicht jeden Beitrag gelesen, aber irgendwie kann ich mir das nicht vorstellen? Unendlich ist schon ziemlich lang.
            Standard-Wert für gc_maxlifetime ist übrigens 1440 (sek.)
            Ich denke, es war davon die Rede, dass eine Session im Kontext einer Anwendung dauerhaft verfügbar ist bzw. sein kann / sollte.
            Es ist schon alles gesagt! Nur noch nicht von allen! (Karl Valentin)
            Wenn du eine weise Antwort verlangst, musst du vernünftig fragen. (Johann Wolfgang von Goethe)

            Kommentar


            • #96
              Ok, dann google ich das nochmal :^]
              MfG
              ~Capfly

              Kommentar


              • #97
                Dann werfe ich hier nur noch mal kurz den Hinweis ein, dass gc_maxlifetime ein irreführender Bezeichner ist - in Wirklichkeit handelt es sich um eine min-lifetime.

                (Das ist zwar jedem klar, der sich ein bisschen mit der Funktionsweise des garbage collectors auseinandergesetzt hat, aber viele Neulinge wissen es nicht.)

                Kommentar


                • #98
                  Achja, es ist doch nicht zu empfehlen, die SessionID im Cookie zu speichern, da diese "ausgelesen" werden kann?

                  Das sollte doch keine Rolle mehr spielen, wenn ich session_regenerate_id() benutze, oder?
                  MfG
                  ~Capfly

                  Kommentar


                  • #99
                    Achja, es ist doch nicht zu empfehlen, die SessionID im Cookie zu speichern
                    Das ist doch das Grundprinzip von Sessions. Vielleicht solltest DU erst weiterdiskutieren, wenn Du das verstanden hast.
                    --

                    „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                    Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                    --

                    Kommentar


                    • Zitat von Capfly Beitrag anzeigen
                      Achja, es ist doch nicht zu empfehlen, die SessionID im Cookie zu speichern, da diese "ausgelesen" werden kann?
                      Es ist immer noch die bessere Alternative dazu, sie per GET zu übergeben.

                      Das sollte doch keine Rolle mehr spielen, wenn ich session_regenerate_id() benutze, oder?
                      Natürlich, dieser Angriffspunkt wird dadurch wesentlich entschärft.

                      Kommentar


                      • Sehr gut, @nikosch : ich habe es bereits verstanden^^

                        Das war nur nochmal eine Nachfrage, ob das Regenerieren sinnvoll sei!

                        Danke!

                        // Nein ich bin nicht der TO xD
                        MfG
                        ~Capfly

                        Kommentar


                        • Hast DU nicht, wenn Du die Frage oben stellst..
                          --

                          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                          --

                          Kommentar


                          • Wetten wir?
                            MfG
                            ~Capfly

                            Kommentar


                            • Zitat von ChrisB Beitrag anzeigen
                              Und selbst wenn wir mal annehmen würden, dass das ein bisschen zusätzliche Sicherheit bringen würde (ich bezeifle es), handelst du dir damit bei nahezu „parallelen“ Requests leicht Probleme ein - wenn ich z.B. mehrere Links direkt hintereinander in verschiedenen Tabs öffne, dann kann das u.U. problematisch werden, weil diese Requests nicht seriell eintreffen oder beantwortet werden müssen, so dass du mich fälschlicherweise als nicht korrekt eingeloggt abweist, nur weil die Timestamps nicht sekundengenau übereinstimmen.
                              Hintergrund des Cokies ist der dass die erkennung des users 3-fach gesichert ist. In erster Instanz wird die Session überprüft, also muss der "Hacker" erstmal diese herausfinden. Dann muss er noch den sekundengenauen Zeitpunkt wissen an dem der Benutzer dieser Session, den letzten request abgeschickt hat. Hat er diese beiden Hürden dennoch überwinden können, muss er sich beeilen, denn er kann nur solange aggieren sollange der "echte" Benutzer keinen neuen Request sendet.

                              In einem Punkt muss ich dir allerdings recht geben, bei parallelen Request kann es evtl. zu problemen kommen. Allerdings ist mir bisher noch nichts aufgefallen. Da ich diese art der abfrage nur im ACP verwende, betrachte ich diesen Nachteil eher als sekundär.

                              Ich behaupte nicht dass diese variante eine 100% Lösung ist, allerdings ist es eine Hürde die man Session-Hijackern in den weg stellen kann. In den meisten Systemen, würde alleine das erraten der Session-Id für einen Vollzugriff reichen.

                              Kommentar


                              • Zitat von Squall Beitrag anzeigen
                                Hintergrund des Cokies ist der dass die erkennung des users 3-fach gesichert ist. In erster Instanz wird die Session überprüft, also muss der "Hacker" erstmal diese herausfinden. Dann muss er noch den sekundengenauen Zeitpunkt wissen an dem der Benutzer dieser Session, den letzten request abgeschickt hat. Hat er diese beiden Hürden dennoch überwinden können, muss er sich beeilen, denn er kann nur solange aggieren sollange der "echte" Benutzer keinen neuen Request sendet.

                                In einem Punkt muss ich dir allerdings recht geben, bei parallelen Request kann es evtl. zu problemen kommen. Allerdings ist mir bisher noch nichts aufgefallen. Da ich diese art der abfrage nur im ACP verwende, betrachte ich diesen Nachteil eher als sekundär.

                                Ich behaupte nicht dass diese variante eine 100% Lösung ist, allerdings ist es eine Hürde die man Session-Hijackern in den weg stellen kann. In den meisten Systemen, würde alleine das erraten der Session-Id für einen Vollzugriff reichen.
                                Deine Annahme ist in gewisser Weise ein Trugschluss! Du gehst davon aus, dass der Angreifer keine Kenntnis deines Systems hat, was keine Sicherheit schafft, sodass du auf jeden Fall davon ausgehen solltest, dass der Angreifer volle Kenntnis über den Quellcode hat, auch wenn diese Annahme u.U. total übertrieben ist...

                                Unter der Annahme, dass der Angreifer eben weiß, wie das System aufgebaut ist, reicht ihm eine Session ID und ein Timstamp für einen Angriff, weil er relativ genau den nächsten Zeitpunkt erraten kann bzw aufgrund der Linearität der Zeit viele Zeitpunkte ausschließen kann!


                                Aus dem Grund solltest du viel eher die Session ID regenerieren, weil der Wert "zufällig" ist und es daher nahezu unmöglich ist diesen Wert zu erraten. Mit diesem Weg erzeugst du keine vorhersagbaren Sicherheitsmerkmale und eine bessere Sicherheit. Die Erklärung der Sicherheit ist auf jeden Fall richtig, weil der Angreifer so nach jedem Update der Session ID diese neu herausfinden muss UND viel wichtiger: Sobald die Session ID durch einen Angreifer regeneriert wird, wird das Opfer ausgeloggt und der Angreifer hat nur einen geringen Erfolg!

                                Das Problem mit mehreren Aufrufen durch Tabbing ist mir bei Cookies noch nicht aufgefallen, sodass ich bisher keine Probleme damit hatte!

                                Kommentar

                                Lädt...
                                X