phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Sicherheit der Daten in Session

Friedhelm Betz holliwell at gmx.net
Fre Jun 25 13:02:01 CEST 2004

Vorherige Nachricht: [php] Sicherheit der Daten in Session
Nächste Nachricht: [php] Sicherheit der Daten in Session
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

[...]
>
> Das liegt ganz dran wo die session liegt und wer drauf zugreifen kann.
> Sinnvollerweise sollte die Session auf deinem Server liegen und nicht
> beim Client, 

Das klingt, zumindest in meinen Ohren, verwirrend, deshalb nochmal ergaenzend, 
zu dem was Sebastian schon geschrieben hatte:
Bei Session-Cookies handelt es sich nur um eine Methode die Session-ID 
weiterzugeben, das hat überhaupt nichts mit Sessiondaten zu tun.
Die eigentlichen Sessiondaten verbleiben auf dem Server und die Session-ID 
wird lediglich dazu verwendet, die richtige Zuordnung von ID und Daten 
vorzunehmen.
Ohne bewussten Eingriff landen keine Sessiondaten jemals auf einem Client. 
Dazu muesste man bewusst Sessiondaten in einem Cookie speichern, aber von 
Haus aus geschieht das nicht.

> dann kann auch niemand die Daten ändern (Injektion). 

Ich denke, dass hier SQL-Injektion gemeint war?. Der einzig gangbare Weg, das 
zu verhindern ist es, die Daten zu validieren und entsprechend zu behandeln. 
Das hat erstmal ueberhaupt nichts mit Sessiondaten zu tun, noch wo diese 
liegen, es geht schlichtweg darum _niemals_ Usereingaben ohne Validierung 
etc. direkt für SQL-Statements zu verwenden. Und wenn Usereingaben direkt in 
Sessiondaten gespeichertwerden, diese dann direkt für SQL-Statements genutzt 
werden ist das 'schlecht', weil damit SQL-Injektion immer moeglich ist.

> Der  
> einzige Zugriff ist www-data erlaubt. Auch wenn die ID dann gesnifft
> wird, erlangt der Hacker lediglich den Zugriff auf diverse Bereiche.
> Evtl. hilft dir aber ein wenig https zur zusätzlichen Absicherung. 

Warum sollte https in diesem Fall helfen? Bei https wird doch 'nur' der 
Uebertragungsweg vom Client zum Server verschluesselt? Aber wenn 'boese 
Daten' verschluesselt uebertragen heisst das noch lange nicht, dass diese 
Daten zu 'guten Daten' werden.
> Die 
> Session (Cookie) beim User zu speichern ist da doch wesentlich
> riskanter, wenn ich an die Löcher in M$ vs. paranoide Pinguine denke ;)

Nochmal: Session ist nicht gleich Cookie, nur die ID landet auf dem Client.

Gruesse
Friedhelm

-- 
http://www.jungle-world.com/

Vorherige Nachricht: [php] Sicherheit der Daten in Session
Nächste Nachricht: [php] Sicherheit der Daten in Session
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive