Mailinglisten-Archive |
hi, > Nochmal mein Problem: Ich versuche gerade ein Session-basiertes Login-Script > zu basteln. Anregungen im Netz gibt es dazu ja genug. Allerdings frage ich > mich wie es mit der Sicherheit aussieht, wenn man z.B. Usernamen und Passwort > in der Session registriert und bei jedem Aufruf einer Seite überprüft. Die Werte werden in _Klartext_ im Session-Verzeichnis gespeichert. Per Default ist dieses als /tmp gesetzt. Neben der Tatsache, dass man Sessions spoofen kann, kann man auch die darin gespeicherten Werte locker auslesen. Die Sicherheit von Sessions ist die Aufgabe Deines Hosters. Ich hab zu diesem Thema mal einige Zeilen in der Doku zu einem Programm von mir geschrieben, kannst es ja kurz lesen: http://daniel.lorch.cc/projects/vmmi/vmmi-0.03/doc/user.html#4.2 Ein Session-Verzeichnis mit diesen Einstellungen kann ich empfehlen: mkdir /var/spool/php_sessions/ chmod 1733 /var/spool/php_sessions/ chown root:www-data /var/spool/php_sessions/ Hier noch etwas zu Session Spoofing (mein Bugtraq-Report): http://www.securiteam.com/unixfocus/5AP0A1F61Q.html Der Workaround ist aber unzureichend - lieber den Tipp in der vmmi-Doku befolgen. Den eigenen Session-Handler schreiben zu wollen, ist keine empfehlenswerte. Lösung. Bei vmmi habe ich Crypt_RC4 von PEAR benutzt - eine schwacher, aber brauchbarer Verschlüsselungsalgorithmus. -daniel
php::bar PHP Wiki - Listenarchive