phpbar.de logo

Mailinglisten-Archive

[php] Session Handling

[php] Session Handling

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Sam Okt 21 21:29:24 CEST 2006


Hi Niels,

Am Samstag, 21. Oktober 2006 19:56 schrieb Niels Runge:
> Ich kann auch nicht ganz nachvollziehen was an der Methode
> Problematisch ist (also SID anhängen), aber vielleicht habe ich jetzt
> jahrelang etwas übersehen. Also Lutz und alle anderen, wo ist das
> Risiko?

ich zitiere der Einfachheit halber mal aus dem Handbuch:

"Sessions und Sicherheit

Externe Links: Session fixation
http://www.acros.si/papers/session_fixation.pdf

Das Session-Modul bietet keine Garantie dafür, dass Informationen, die 
Sie in einer Session speichern, nur vom Benutzer gesehen werden können, 
der die Session erzeugt hat. Sie müssen zusätzliche Maßnahmen 
ergreifen, um die Integrität der Session ihrer Wichtigkeit entsprechend 
angemessen aktiv zu schützen.

Schätzen Sie die Wichtigkeit der Daten ab, die in Ihren Sessions 
transportiert werden und treffen Sie zusätzliche Schutzmaßnahmen -- in 
der Regel bezahlen Sie dafür mit einer geringeren 
Benutzerfreundlichkeit. Wenn Sie z.B. Benutzer vor einfachen Social 
Engineering Tactics (Anm. des Übersetzers: Techniken der Ausnutzung 
menschlicher Schwächen) schützen wollen, müssen Sie 
session.use_only_cookies aktivieren. Cookies müssen dann benutzerseitig 
auf jeden Fall aktiviert sein, weil Sessions sonst nicht funktionieren.

Es gibt mehrere Wege, über die eine Sessio-ID an Dritte gelangen kann. 
Eine entführte Session-ID ermöglicht diesen, auf alle Daten 
zuzugreifen, die mit dieser Session-ID verbunden sind. Erstens sind das 
URLs, die Session-IDs enthalten. Wenn Sie auf eine externe Site 
verweisen, könnte die URL inklusive Session-ID in den Referrer-Logs der 
externen Site gespeichert werden. Zweitens kann ein aktiverer Angreifer 
Ihren Netzwerkverkehr abhören. Falls Ihr Netzwerkverkehr nicht 
verschlüsselt ist, werden Session-IDs im Klartext über das Netzwerk 
übertragen. Hier ist die Lösung, auf Ihrem Server SSL zu implementieren 
und die Verwendung für Ihre Benutzer obligatorisch zu machen."

-> http://de2.php.net/manual/de/ref.session.php


Viele Grüße
Lutz

php::bar PHP Wiki   -   Listenarchive