phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] 1/2 OT Session und Google Cache

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Mon Dez 4 13:45:57 CET 2006

Vorherige Nachricht: [php] 1/2 OT Session und Google Cache
Nächste Nachricht: [php] 1/2 OT Session und Google Cache
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Ringo,

Am Montag, 04. Dezember 2006 12:26 schrieb Ringo Großer:
> jetzt kommt es noch schlimmer.
> Nachdem ich heute noch ein wenig geforscht und getestet habe,
> musste ich feststellen, dass ich über den im Google Cache
> liegenden Link samt Session-ID wirklich auf einen angemeldeten
> User innerhalb meiner Webseite zugreifen konnte. Allerdings
> nicht der, welcher dazu im Google Cache ursprünglich namentlich
> vermerkt ist, sondern ein völlig anderer. Ich hätte nun dessen
> Daten und Einstellungen ändern können.
>
> Dies würde bedeuten, dass PHP bzw. der Webserver innerhalb
> von relativ kurzer Zeit die selben Session-IDs generiert. Die
> Erfassung des ursprünglichen Links mit der betreffenden
> Session-ID liegt ca. eine Woche zurück. Heute Vormittag
> wurde scheinbar die gleiche Session-ID wieder vergeben aber
> für die Sitzung eines anderen Users.
> Ob sie sogar in der Zwischenzeit schon wieder und wie häufig
> sie dann vergeben wurde, das lässt sich nun schwer nachprüfen.
>
> Ist denn der Algorhythmus bekannt, nach welchem PHP diese
> IDs generiert? Und wie häufig meint ihr werden sich diese IDs
> wiederholen?
> Wenn das schon sofort danach passiert, sobald alte IDs
> verfallen sind (Session abgelaufen), dann ist das doch ein sehr
> bedenklich kurzer Turnus.
>
> Allein auf Grund des eben beschriebenen Szenarios darf man
> ja schon keine Session-ID per GET verwenden. Vielleicht ist
> einem Angreifer der Algorhythmus zur Generierung der Session-IDs
> bekannt oder der Turnus und er kann sich unter Anwendung eines
> festen ID-Pools in eine bestehende Session einklinken... Oder ist
> das jetzt zu weit hergeholt?
>
> War die wiederholte Verwendung der gleichen Session-ID heut
> Vormittag vielleicht wirklich nur ein blöder Zufall?
> Gibts es Erfahrungswerte, ob und wie oft Session-IDs sich
> wiederholen?

(ausnahmsweise Vollzitat)

es könnte wohl vorkommen, daß ein und dieselbe Session-ID erneut 
generiert wird, und es wäre auch möglich, die Session-ID zu erraten - 
nur, wie hoch ist die Wahrscheinlichkeit. Bei Dir häufen sich einfach 
zuviele, sehr seltene Zufälle, so daß ich eher davon ausgehe, daß es 
eine viel näherliegende, handfeste Erklärung für Dein Problem gibt.

1. Weißt Du, daß die Session-ID, die jetzt im Google-Cache ist, dieselbe 
ist, wie die letzte Woche, oder glaubst Du das nur? (Manchmal habe ich 
übrigens das Gefühl, daß der Google-Cache nicht gecachte Daten vom 
Google-Server, sondern Live-Daten der Website liefert.)

2. Bist Du sicher, daß ein Spider nirgends auf Deiner Website aktuelle 
Session-IDs erwischen kann? Hast Du schon mal, wie ich angeregt hatte, 
HTTrack auf Deine Website angesetzt?

3. Kannst Du einen Fehler in Deiner Anwendung ausschließen? Könnte 
gebenenfalls in der Website auf falsche Daten zugegriffen werden?


Viele Grüße
Lutz

Vorherige Nachricht: [php] 1/2 OT Session und Google Cache
Nächste Nachricht: [php] 1/2 OT Session und Google Cache
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive