Mailinglisten-Archive |
Hi Yannik, Am Sonntag, 03. Dezember 2006 09:58 schrieb Yannik Hampe: > Im Internet Explorer gibt (oder gab es zumindest) auch ein paar > Sicherheitslücken, mit denen man mit VBScript Cookies anderer Seiten > auslesen kannst. > So einfach kommst du an die sessionid nicht dran, wenn du nur mit > ssid in der URL arbeitest. > > Fazit: Cookies sind auch nicht sicherer ;-). diese Sicherheitslücken im IE sind natürlich krass. Trotzdem denke ich, daß Session-Cookies grundsätzlich erst einmal sicherer sind. Zum einen vom Ansatz her - ich denke, das ist unbestritten -, zum anderen aber auch von der Wahrscheinlichkeit des Mißbrauchs her. Ist die Session-ID in der URL, läuft der unbedarfte Anwender Gefahr, eine URL mit seiner Session-ID selbst an andere zu verraten, wenn er ihnen die URL als Link schickt. Ferner taucht die URL ist der Browserhistorie auf, was ein Problem werden kann, wenn mehrere Personen Zugriff auf diese Browserhistorie haben. Darüber hinaus erscheint die Session-ID auf anderen Servern in den Serverlogs, wenn man aus dem geschützten Bereich heraus auf einen Link klickt. Du mußt zugeben, daß diese Szenarien weitaus wahrscheinlicher sind, als ein funktionierender Exploit eines IE-Bugs, mit dessen Hilfe ein Angreifer fremde Cookies auslesen kann. Dabei ist immer noch die Frage, ob das im Falle eines Session-Cookies überhaupt so problemlos funktioniert. Da ich das nicht getestet habe, kann ich das nicht beurteilen. Letzter Punkt: Nur weil der IE eine Sicherheitslücke bezüglich des Auslesens des fremder Cookies hat, heißt das nicht, daß man dann direkt ein per se unsicheres Verfahren einsetzen kann bzw. darf. Benutzer von Firefox, Opera, Konqueror etc. kommen nämlich in den Genuß der Sicherheitsvorteile von Session-Cookies. :-) Viele Grüße Lutz
php::bar PHP Wiki - Listenarchive