phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Session Handling

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Sam Okt 21 21:29:24 CEST 2006

Vorherige Nachricht: [php] Session Handling
N�chste Nachricht: [php] Eclipse PHP IDE - umlaute
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hi Niels,

Am Samstag, 21. Oktober 2006 19:56 schrieb Niels Runge:
> Ich kann auch nicht ganz nachvollziehen was an der Methode
> Problematisch ist (also SID anh�ngen), aber vielleicht habe ich jetzt
> jahrelang etwas �bersehen. Also Lutz und alle anderen, wo ist das
> Risiko?

ich zitiere der Einfachheit halber mal aus dem Handbuch:

"Sessions und Sicherheit

Externe Links: Session fixation
http://www.acros.si/papers/session_fixation.pdf

Das Session-Modul bietet keine Garantie daf�r, dass Informationen, die 
Sie in einer Session speichern, nur vom Benutzer gesehen werden k�nnen, 
der die Session erzeugt hat. Sie m�ssen zus�tzliche Ma�nahmen 
ergreifen, um die Integrit�t der Session ihrer Wichtigkeit entsprechend 
angemessen aktiv zu sch�tzen.

Sch�tzen Sie die Wichtigkeit der Daten ab, die in Ihren Sessions 
transportiert werden und treffen Sie zus�tzliche Schutzma�nahmen -- in 
der Regel bezahlen Sie daf�r mit einer geringeren 
Benutzerfreundlichkeit. Wenn Sie z.B. Benutzer vor einfachen Social 
Engineering Tactics (Anm. des �bersetzers: Techniken der Ausnutzung 
menschlicher Schw�chen) sch�tzen wollen, m�ssen Sie 
session.use_only_cookies aktivieren. Cookies m�ssen dann benutzerseitig 
auf jeden Fall aktiviert sein, weil Sessions sonst nicht funktionieren.

Es gibt mehrere Wege, �ber die eine Sessio-ID an Dritte gelangen kann. 
Eine entf�hrte Session-ID erm�glicht diesen, auf alle Daten 
zuzugreifen, die mit dieser Session-ID verbunden sind. Erstens sind das 
URLs, die Session-IDs enthalten. Wenn Sie auf eine externe Site 
verweisen, k�nnte die URL inklusive Session-ID in den Referrer-Logs der 
externen Site gespeichert werden. Zweitens kann ein aktiverer Angreifer 
Ihren Netzwerkverkehr abh�ren. Falls Ihr Netzwerkverkehr nicht 
verschl�sselt ist, werden Session-IDs im Klartext �ber das Netzwerk 
�bertragen. Hier ist die L�sung, auf Ihrem Server SSL zu implementieren 
und die Verwendung f�r Ihre Benutzer obligatorisch zu machen."

-> http://de2.php.net/manual/de/ref.session.php


Viele Gr��e
Lutz

Vorherige Nachricht: [php] Session Handling
N�chste Nachricht: [php] Eclipse PHP IDE - umlaute
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive