Zitat von Flor1an
Beitrag anzeigen
-
Ich bin auch eher von automatisierten Angriffen ausgegangen, mit so Tools wie CUrl zum Beispiel, da kann ich frei wählen ob ich Cookies zulasse oder nicht, könnte sogar im Zweifel das Cookie beschneiden, ist ja ne normale Textdatei, wie auf nem "normalen" Klienten auch. Und warum sollten Logins ohne Cookies nicht funktionieren
-
Es geht, aber dann sind andere Maßnahmen notwendig, um den Status des Clients zu speichern/übertragen. HTTP ist zustandslos, alle Informationen eines vorhergehenden Requests sind beim nächsten Request verloren...Und warum sollten Logins ohne Cookies nicht funktionierenÜber 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.Kommentar
-
Und die anderen Maßnahmen, würden Programmierer überfordern? Oder geht ihr alle allgemein davon aus, dass der User Cookies aktiviert hat? Finde diesen Ansatz schon fragwürdig... Aber danke für die Leerstunde...Zitat von lstegelitz Beitrag anzeigen
Kommentar
-
Zumindest ohne Session Cookies kommt kein Client mehr aus ... von daher kann man meiner Meinung nach Cookies schon als Voraussetzung sehen. Allerdings bringt das nur recht wenig als Sperre ... brauchen wir denke ich auch nicht weiter diskutieren, ich kann mich gut an einen anderen Thread erinnern wo es auch ausführlichst besprochen wurde, wenn der Threadersteller sich dafür interessiert kann er den Thread ja mal durchlesen ...Kommentar
-
Cookies haben sich eingebürgert... das Handling ist Bestandteil des Browsers.
Andere Alternativen sind z.B. die Übertragung der Session-ID in der URL bzw. als hidden-Field in einem Formular.
Wenn du dein eigenes System umsetzen willst, wirst du nicht drum herum kommen, einen Browser zu programmieren, der dein Handling implementiert. Wie wäre denn dein Ansatz, wenns nicht Cookies (bzw. das Prinzip der Cookies) sein sollen?
Das Problem bleibt: Aufgrund der Zustandslosigkeit von HTTP muss der Client aktiv mitarbeiten, um sich zu identifzieren - da aber alle Clientinformationen potentiell manipuliert sein können, ist von dieser Seite keine Sicherheit zu erwarten.Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.Kommentar
-
Bei rot über die Ampel gehen hat sich auch eingebürgert, aber gut ist das trotzdem noch lange nicht!Zitat von lstegelitz Beitrag anzeigen
Das wär doch mal ein alternativer Ansatz. Ich habe schon Applikationen (oder Module dafür besser gesagt) in Umgebungen umgesetzt, wo Cookies halt vom Proxy nicht zugelassen wurden.Zitat von lstegelitz Beitrag anzeigen
Darauf verlassen sich aber viele "Entwickler" einfach, dass die Header, die vom Klient kommen schon alle "sauber" sind. Deswegen meinte ich auch hier zum Beitragseröffner, dass er mal lieber seine App sicher programmieren sollte, als irgendwelche Leute oder IPs (im schlimmsten Fall noch über CookiesZitat von lstegelitz Beitrag anzeigen )auszusperren.
Kommentar
-
Dieser Ansatz bietet aber neue Probleme besonders bei der Übertragung über die URL.Zitat von StefanRHRO Beitrag anzeigen
Da man diese auch mal gerne verschickt offenbart man seine Session-ID. Das ist soweit nicht shclimm wnen man sich auf andere Informationen vom Client verlassen kann. Als da wären IP-Adresse, HTTP User Agent und andere Informationen die der Browser "manchmal" mit schickt oder manchmal auch eben nicht.
D.h. du hast über eine URL im Prinzip keine Chance trotz SID sicher zu sagen "das ist jetzt der und der Benutzer"."Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".Kommentar
-
Hmm die Session ID, könnte ich aber auch ohne dass sie in der URL steht oder in nem Hidden Feld herausfinden. Zum Beispiel über XSS oder son Schweinskram. JavaScript kann "leider" auch mit Cookies umgehen...Zitat von Dark Guardian Beitrag anzeigen
Kommentar
-
Über Sicherheitslücken in einer Anwendung brauchen wir gar nicht diskutieren. Da kannst auch sagen "wozu brauch ich ein Passwort wnen ein Angreifer über SQL Injections eh die komplette Usertabelle sehen kann und sich Adminrechte geben kann?".Zitat von StefanRHRO Beitrag anzeigenHmm die Session ID, könnte ich aber auch ohne dass sie in der URL steht oder in nem Hidden Feld herausfinden. Zum Beispiel über XSS oder son Schweinskram. JavaScript kann "leider" auch mit Cookies umgehen..."Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".Kommentar
-
Wenn die Session ID (serverseitig generiert!) nicht auf dem Client gespeichert ist - wie willst du sie dann herausfinden?Zitat von StefanRHRO Beitrag anzeigenHmm die Session ID, könnte ich aber auch ohne dass sie in der URL steht oder in nem Hidden Feld herausfinden. Zum Beispiel über XSS oder son Schweinskram. JavaScript kann "leider" auch mit Cookies umgehen...
Den Weg musst du mir jetzt mal erklären.Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.Kommentar
-
Ich bin in dem Fall von der Cookie Methode ausgegangen...Zitat von lstegelitz Beitrag anzeigen Deshalb auch der Hinweis: ...JavaScript kann "leider" auch mit Cookies umgehen...
@Dark Guardian: Wieso will eigentlich nie einer mit mir über Sicherheitslücken diskutieren? Und dein Beispiel mit den Passwörtern ist sehr abstrakt, finde ich jetzt persönlich... Was ich eigentlich die ganze Zeit versuche zu sagen ist, dass sich einige "Entwickler" eher mal Gedanken darüber machen sollten, wie es zu Missbräuchen kommt und die Applikation dahingehend anpassen... Das was der Beitragseröffner vor hat hindert den "User" ja nach wie vor nicht daran die Seite/Applikation für irgendwelchen Schund zu missbrauchen, sondern hindert ihn ja "nur" zeitweise daran...
Kommentar
-
Weil du bei einer potenziel angreifbaren Anwendung immer davon ausgehen kannst das alle Sicherheitsmaßnahmen (über die wir hier reden) nicht greifen und sich die Diskussion somit im Kreis dreht.Zitat von StefanRHRO Beitrag anzeigen
Wenn du über wirksame Sicherheitsmaßnahmen reden willst musst du von einer vor Angriffen ausreichend geschützten Anwendung ausgehen. Und da sind für Reidentifikation eines Benutzers Cookies nun einmal der "sicherste" Weg."Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".Kommentar
Kommentar