phpbar.de logo

Mailinglisten-Archive

[php] 1/2 OT Session und Google Cache

[php] 1/2 OT Session und Google Cache

Yannik Hampe yannik at cipher-code.de
Son Dez 3 16:26:34 CET 2006



Lutz Zetzsche wrote:
> Hi Yannik,
Hi Lutz
> Ist die Session-ID in der URL, läuft der unbedarfte Anwender Gefahr, 
> eine URL mit seiner Session-ID selbst an andere zu verraten, wenn er 
> ihnen die URL als Link schickt. Ferner taucht die URL ist der 
> Browserhistorie auf, was ein Problem werden kann, wenn mehrere Personen 
> Zugriff auf diese Browserhistorie haben. Darüber hinaus erscheint die 
> Session-ID auf anderen Servern in den Serverlogs, wenn man aus dem 
> geschützten Bereich heraus auf einen Link klickt.

Stimmt. Der Referrer ist da eine echte Sicherheitslücke...
Und wenn alle Benutzer immer schön den "Logout" benutzen würden, gäbe es
auch ein paar Probleme weniger...
> 
> Du mußt zugeben, daß diese Szenarien weitaus wahrscheinlicher sind, als 
> ein funktionierender Exploit eines IE-Bugs, mit dessen Hilfe ein 
> Angreifer fremde Cookies auslesen kann. Dabei ist immer noch die Frage, 
> ob das im Falle eines Session-Cookies überhaupt so problemlos 
> funktioniert. Da ich das nicht getestet habe, kann ich das nicht 
> beurteilen.

Ja, das ist klar... Ich hatte nur den Eindruck, dass einige Leute der
Meinung sind, dass Cookies das non-plus-ultra sind und das Allheilmittel
und alle Sicherheitsprobleme löst. Dem wollte ich etwas entgegenwirken.
Grundsätzlich hast du natürlich recht, dass Cookies sicherer sind.

@Ringo:

>Also insgesamt sehe ich für allein 3 der oben genannten 4 Probleme die
>Lösung zunächst darin, die Session-ID in der URL wirklich zu >unterbinden.

Ich zähle nur 2 von 4. Die Cookies lösen nicht das Problem mit
ethereal&Co. und nicht das Problem mit Trojanern.
Wobei beides mehr ein Problem grundsätzlichen Sessiondiebstahls ist und
nicht wirklich für Google in Frage kommen.

Übrigens: Such doch mit google mal nach der Sessionid des Benutzers.
Vielleicht findest du ja in irgendeinem Forum oder sonstwo den
veröffentlichten Link mit der sessionid.

Mit der Google-Toolbar ist echt so eine Sache. Diese wäre als Erklräung
auch nicht so ganz abwegig...
Installier dir doch die toolbar mal und schau mal nach, was diese
Tollbar so alles überträgt (mit ethereal zum Beispiel: www.ethereal.com)

> 
> 
> Viele Grüße
> Lutz

Yannik

php::bar PHP Wiki   -   Listenarchive