Sicherheit: SQL-Query Übergabe mit Sessions (ohne Cookies)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicherheit: SQL-Query Übergabe mit Sessions (ohne Cookies)

    Hallo zusammen,

    ich benötige eure Sicherheitseinschätzung zu folgendem Thema:

    Ich übergebe eine sehr komplexe SQL-Query per Session ohne Cookies ( session.use_cookies wird temporär false) zu einer anderen Seite. Lauf ich nun bei diesem Schema irgendwie Gefahr dass mir jemand die Query modifiziert, d.h. z.B. drop table draus macht?

    Mir fällt keine Sicherheitsbedenken ein, da die Variable ja "auf dem Server bleibt" und somit nicht vom User verändert werden kann, ist dies eine Fehleinschätzung? Soll ich die Abfrage lieber in der DB speichern?


    Gruß Sascha

  • #2
    Re: Sicherheit: SQL-Query Übergabe mit Sessions (ohne Cookies)

    An deine Session-Daten kommt man von außen nicht ran, richtig.

    Gefahr besteht eher an den Stellen, wo du Eingabedaten in deine Query aufnimmst, diese musst du also auf dem üblichen Weg absichern.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      wenn ich was falsch sage, dann bitte um korrektur

      1)ich glaube, dass es keine rolle spielt ob session mit coockis oder ohne funktioniert, da bei session nur session_id per Request weitergibt.
      die Session Variablen werden auf dem server geschpeichert .
      also du kannst ruhig session.use_cookies benutzen(was meine meinung nachsogar mehr sicherheit bietet).

      2)Risiko auf deine session daten zu kommen ist zimmlich gering, aber nicht ausgeschlossen.
      z.bs wenn jemand wärend lebensziklus von einer session_id die gleiche übergibt (lotto gewinnen ist leichter) kann dein script nicht mehr unterscheiden um welche person es sich handelt.
      diese risiko kann man noch mal verkleinen, wenn mann zusätzlich ein zufallszahl mit session_id in browser übergibt, der mit beliebigen request-methoden (ausser session) weiter gegeben wird und in zusammenhang mit session_id berücksichtigt.

      3)Und das bringt alles nichts, wenn user wärend einer Transaktion auf die tualete geht, oder jemand direckt an seiner Leitung lauscht.
      Sogar ssl bringt keine garantie in solchen fällen.

      Diese Aussagen besieren auf meinem Wissen, was leider nicht als Expertenaussage verstanden muss, aus diesem Grund bitte ich meine Fehler zu korregieren.

      Danke
      Slava
      Slava
      bituniverse.com

      Kommentar


      • #4
        Original geschrieben von Slava
        Sogar ssl bringt keine garantie in solchen fällen.
        Na ja, man-in-the-middle-Attacken dürften aber schon nicht ganz einfach sein.

        Und auf andere Weise dürfte es kaum möglich sein, die verschlüsselte Kommunikation zwischen Server und Client abzuhören und zu verstehen.
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          ich habe aber gehört, dass wärend schlüssel austausch ist ssl protocol sehr verletzbar.
          und bei der Variante mit "kurz auf die Tualete gehen" sowieso
          Slava
          bituniverse.com

          Kommentar

          Lädt...
          X