Session's und die Sicherheit

**penizillin** · 06.05.2005, 00:19

OffTopic:
immerhin - zu viel paranoia ist besser, als zu wenig.

1. ne frage vorweg - warum nicht den php-eigenen session-mechanismus benutzen? kannst es ja immer noch mit zusätzlichen features "verfeinern", falls es dir nicht reichen sollte.

2. uniqid(mt_rand()) reicht vollkommen.

**EEBKiller** · 06.05.2005, 00:31

Original geschrieben von penizillin
1. ne frage vorweg - warum nicht den php-eigenen session-mechanismus benutzen? kannst es ja immer noch mit zusätzlichen features "verfeinern", falls es dir nicht reichen sollte.

Willst dus ehrlich wissen ?

Weil ich zu Faul bin, etwas per ini_set() zu ändern (PHPSESSID in meinen eigenen Namen), vorallem, da die Funktion ja manche Provider ganz verbieten und die Erkennung, ob Cookies funktionieren oder doch nur per GET, PHP bei mir irgendwie nicht ganz rafft. Deshalb hab ich gleich ne Klasse dafür gebaut.

Wenn schon, dann richtig

**penizillin** · 06.05.2005, 00:36

sei nicht albern und schieb's nicht auf die provider/php/wetter/götter.
sessions funktionieren wunderbar und warten darauf, von dir erfasst und begriffen zu werden.

**EEBKiller** · 06.05.2005, 00:40

Jetzt, wo ich nen eigenen Handler dafür habe, werde ich garantiert nicht wieder den von PHP verwenden

Ausserdem war das immer noch keine direkte Antwort auf die Sicherheitstechnische Frage

**penizillin** · 06.05.2005, 00:53

von sicherheit kann nicht die rede sein, wenn aus nicht vertretbaren gründen zugunsten von neuen, unerprobten und fehleranfälligen eigenkreationen auf gute, bewährte lösungen verzichtet wird.

ich darf kurz übertreiben, um es deutlicher zu machen:

PHP-Code:


function my_echo($s){

    print $s;

}

thedailywtf.com hat mehr beispiele.

**EEBKiller** · 06.05.2005, 01:10

Was mich aber immer noch kein Stück weitergebracht hat ...

Denn egal, ob ich meinen Handler nehme, oder den, der bei PHP dabei ist:

Wie kann ich feststellen, dass die SID nicht geklaut wurde. Schließlich muss ich das bei einem

session_start()
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];

[...]

- Zeugs auch tun und nicht einfach annehmen, dass das schon der selbe User sein wird, der gerade wieder die SID übertragen hat.

**DarkRoot** · 06.05.2005, 01:14

PHP-Code:


session_start();

        if(!isset($_SESSION['IP'])) {

            $_SESSION['IP'] = $_SERVER['REMOTE_ADDR'];

        }

        if($_SESSION['IP'] != $_SERVER['REMOTE_ADDR']) {

die();

}

so könnte man es mit der normalen session von php machen....

**penizillin** · 06.05.2005, 01:15

beispiel - mitarbeiter eines call-centers haben die gleichen rechner mit absolut identischen user agents. sie kommen alle über ein proxy ins netz und haben nach außen hin die gleiche ip. willst du die mitarbeiter ihre fingerabdrücke scannen lassen?

**DarkRoot** · 06.05.2005, 01:19

kann man die mac adresse eines pc's mit php abfragen?

EDIT:
Wobei, das würde ja durch den proxy auch wieder gekillt werden...

**EEBKiller** · 06.05.2005, 01:23

Genau DARUM gehts mir.

Was ist sonst noch absolut einzigartig an jedem Rechner im Netz ?

Die Mac-Addy ?
- Wohl kaum, wird nämlich garnicht erst übertragen ....

Vielleicht eine "Aktions-ID", die bei einem Klick verfällt und ebenfalls per GET übertragen wird und deshalb ebenfalls per Copy-Paste im nächsten IRC-Channel oder Messenger Fenster landet ?

Oder leben wir in einer freien Welt, in der kein Check nötig ist, und jeder User oder Mitarbeiter auf meiner Seite ebenfalls volle Adminstrationsrechte haben darf ?

Vielleicht ganz auf Sessions verzeichten. Wie mach ich den Leuten klar, dass sie für jeden Klick ihre Benutzerdaten bereit halten sollen ?

---------------

Wieviele und welche Informationen eines Clients habe ich, um ihn mit sehr sehr hoher wahrscheinlichkeit erneut SICHER identifizieren zu können ???

**penizillin** · 06.05.2005, 01:28

Was ist sonst noch absolut einzigartig an jedem Rechner im Netz ?

nichts, fürchte ich.

Adminstrationsrechte

übertreib mal nicht..

Vielleicht ganz auf Sessions verzeichten.

und dann?

Wieviele und welche Informationen eines Clients habe ich

schau mal ins phpinfo() rein.

**EEBKiller** · 07.05.2005, 14:59

So viele Hit's und trotzdem keine Antwort ...

**Quetschi** · 09.05.2005, 08:33

Hallo,

ist keinesfalls eine 100%ig sichere Lösung, aber eine Möglichkeit wäre eine Art 'temporären' Link zu erzeugen, der nur einmal verwendet werden darf.

So in der Art:
<A HREF="link.php?PHPSESSID=wasweisich&Link_ID=342343234234">Link</A>

Der Parameter Link_ID wird bei jedem Aufruf zufällig generiert und zusammen mit der PHPSESSID in einer DB gespeichert, die Link_ID ist dann nur für einen Aufruf gültig. Wird der gleiche Parameter ein zweites Mal verwendet wird die Session gelöscht.

Das ganze ist aber letztlich auch nur eine Hürde die natürlich überwindbar ist, aber dem einen oder anderen macht man's damit ein wenig schwerer.

Gruss
Quetschi

**mrhappiness** · 09.05.2005, 09:27

Zwei Dinge sind zu unterscheiden.

Vorhersagbarkeit der generierten Session-ID
Potential der in der Session gespeicherten Daten, die Sicherheit zu steigern

Wenn du session_start() einsetzt, generiert PHP für dich eine Session-ID.
Diese Session-ID ist der MD5-Hash von $_SERVER['REMOTE_ADDR'], aktuelle Sekunden, aktuelle Millisekunden und einer zufällig erzeugten Zahl, erzeugt basierend auf der Uhrzeit inkl. Millisekunden (u. a.).

Du benutzt für die Session-ID den MD5-Hash von uniqid und mt_rand.
Da MD5 = MD5, stellt sich hier also die Frage, was zufälliger ist: uniqid und mt_rand oder die PHP-Standardvariante

Ich denke mal, PHP macht das besser als du.

Wenn die Session-ID eines anderen nicht erraten werden kann, kann sie aber dennoch evtl. "gesnifft" werden, aber das sei hier nur der Vollständigkeit halber erwähnt, da das in beiden Varianten - deiner und der von PHP - gleichermaßen möglich ist.

Kommen wir jetzt zum zweiten Punkt:
Wenn du verhindern willst, dass ich mit deiner Session-ID Aktionen unter deinem Namen ausführe, dann musst du in der Session Daten speichern, die eindeutig dich identifizieren.

Du hast das mit der IP-Adresse versucht, aber das ist ein nicht wirklich guter Ansatz, denn:

Steht in $_SERVER['REMOTE_ADDR'] teilweise bei vielen Leuten die gleiche IP, nämlich bei allen, die über einen Proxy auf deine Seiten kommen
Ändert sich die IP bei den meisten Leuten alle 24 Stunden "daueronline", bei Modem-/ISDN-Benutzern mit Sicherheit häufiger, da die sich häufiger einwählen

Gibt mit Sicherheit den ein oder anderen, der seinen PC so eingestellt hat, dass nach x Minuten Inaktivität die Verbindung automatisch getrennt wird. Wenn diese Leute also nach bspw. 5 Minuten auf einen Link auf deiner Seite klicken, wird eine neue Verbindung aufgebaut (mit neuer IP) und du identifizierst die Session als "geklaut".

Der User-Agent ist noch weniger geeignet, denn das identifiziert einen Benutzer nicht wirklich, vor allem in Anbetracht der Tatsache, dass ich da einen x-beliebigen Wert eintragen kann.

Was wäre geeigneter?

Die MAC-Adresse, die aber auch gefälscht werden kann und darüber hinaus nicht vom Webserver aus ermittelbar ist
Anzapfen eines TRACE-Services, der dir die Koordinaten zur IP liefert
(Nein, dass ist nicht mein Ernst, aus wohl denkbaren Gründen)
Persönliche Daten des Benutzers (als Person, nicht als PC)
Das ist technisch machbar, aber...

Da du diese Daten nicht automatisch ermitteln kannst, müsstest du sie bei jedem Aufruf einer deiner Seiten vom Benutzer erneut eingeben lassen und mit den in der Session gespeicherten Daten abgleichen, also auch keine praktikable Idee.

Die einzigen Möglichkeiten, die mir momentan einfallen, sind der "TAN-Ansatz" von Quetschi oder, wenn du mit PHP-Sessions arbeiten wolltest, der Einsatz von session_regenerate_id.

Was ich mich aber frage (abgesehen von: "Warum nutzt du nicht PHP-Standard, wenn der so unsicher wäre, meinst du nciht, das wäre mittlerweile rausgekommen und verbessert worden?"), ist: Warum zum Geier der ganze Aufwand?
Kann es sein, dass du an deinem Ansatz festhalten willst, weil es dich Zeit gekostet hat, ihn zu realisieren?

OffTopic:
P.S.:
Eine Session
Viele Sessions
Ohne '

Session's und die Sicherheit