Session Daten verschlüsseln.

schon mal crypt() in den string functions des php manuals nachgeschaut inklusive "see_also"

Also wenn dein Skript das Entschlüsseln kann, wie macht es dann die Session sicherer?
Du solltest lieber dafür sorgen, dass du die Session explizit an einen User binden kannst, mit anderen Worten trans_id ausschalten, use_only_cookies anschalten, einen session-handler schreiben, der IP und UserAgent bei jedem Start mit dem Wert in der Datenbank vergleicht und nur dann die session wirklich startet, ggf. die Session in der Datenbank speichern wenn du auf einem Shared Host Angst hast, dass ein anderer Account das Session-File lesen könnte.

Einen verschlüsselten Wert, zudem noch mit einer performanten, somit wahrscheinlich schlechten, Verschlüsselung, in der Session zu speichern, finde ich eher schlecht als recht :/

Naja
verschlüsselte Daten im sessionfile sind ein Vorteil. Und vermutlich sucht Frager diesen. Die anderen Risiken sind orthogonal - auch immer vorhanden.

Re: Session Daten verschlüsseln.

Ich denke zusätzlich zu obigem, dass das eine Fehlüberlegung ist. Ein Datenbankaufruf mehr oder weniger..darauf kann es nicht ankommen, vielleicht sogar kombiniert mit dem anyway gemachten logging und was sonst noch anfällt. Dazu noch anstatt einer sessionfileoperation weniger oder mehr....

was für ein Vorteil???
was kann man damit überhaupt erreichen?
wenn jemand ein zugang per ftp zu deinen sessiondaten geschaft hat, dann bringt dir auch verschlüsselung nichts.

Gerade ein hochsicherheitsding ist es nicht. Wer Zugang hat der hat ihn. Es gibt Sicherheitssysteme mit 6 Schlüsseln und wer alle hat, kommt rein. Aber man muss sie haben. Geht das Sicherheitssystem mit 0 Schlüsseln, ist es viel einfacher.

ZB siehst Du in einer debugging Situation das sessionfile, aber den Inhalt nicht dh nur wirres hex zeug. Du kannst einen backup ziehen, ohne die sessiondaten auszuschliessen. Dein provider kann aus irgendwelchen legitimen Gründen mit den sessionfiles was machen, der Inhalt ist versiegelt. Die Polizei kann den server beschlagnahmen....und mit forensic software die Daten absuchen..gibt zuerst mal nichts, oder gibt schon was...

tut mir Leid, aber ich kann das nicht nachvollziehen.
1)normale Lebensdauer von einem session ist etwa 15 minuten nach der letzter Aktion.
2)die session daten sind nur für die php scripts relevant und stehen dem zugeordnetetm user nicht zur Verfügung
3) einzelne zusammenhang zwischen dem User und seinen Session-daten ist session_id,
also technisch gesehen, wenn jemand sich mit einer fremder, noch existierender session_id meldet, dann können wir den user nicht mehr von dem richtigem unterscheiden, und unsere scripts werden die gleiche ergebnise liefern ohne rücksicht ob die sessiondaten verschlüsselt sind.

als zusammenfassung kann ich also sagen,
1)an unsere session-daten kommt nur derjeniger, der ftp-Zugang hat.
2)unsere scripts können nur durch sessions_id die zugehörige daten und nur für interne script-logik benutzt werden.
------------------
<<Die Polizei kann den server beschlagnahmen....und mit forensic software die Daten absuchen..gibt zuerst mal nichts, oder gibt schon was...>>
1)muss es überhaupt so weit kommen?
2) und wenn es so weit kommt, dann ist es nur die frage von zeit, bis die Inhalte (von aktuelen sessiondaten) entschlüsselt werden(wenn du das selber nicht verraten hast).
oder meinst du, dass bei Polizei nur die Dilletanten und anfänger arbeiten?

Werte Boardgemeinde.

Erstmal Danke für Eure zahlreichen Antworten.

Also mein Probleme sehe ich jetzt darin, dass ich einfach nicht wirklich gebildet bin in dem Thema und ich von „hören sagen“ lebe und von den Dingen die man sich so aus den OReilly Büchern zusammengesucht hat.

Meine bisherige Annahme war, dass die Chance zwar sehr gering ist, aber es Möglichkeiten gibt hinter die Informationen die in der Session übermittelt werden zu kommen, wenn man im Netzwerk zwischen dem User und unserem Server sitzt. Irgendwas von die ersten 10 Nanosekunden ist die Session unsicher und wenn da irgendein Bufferüberlauf oder so ist, dann kann man hinter die Daten kommen, aber das ist so wie ich das euren Postings entnehme eher ein fall für die Mythbusters.

Aber noch mal kurz weiter ausgeholt.

Der Server ist ein Root Server, steht physisch unter meinem Schreibtisch also kein VHost mit 1000 anderen.

Ich hoffe, wie wohl jeder der irgend was in PHP für andere macht, dass meine Anwendung auch wenn sie kostenlos ist, *hoffentlich* irgendwann von 1000enden von Usern genützt wird. Deshalb hab ich mir überlegt, anstelle immer wieder in der Hauptuser DB nachzufragen, was die Connection-Details sind ist es einfacher für mich das in die Session zu stecken und von dort wieder abzuholen. Weniger mysql_queries die ja hoffentlich mal voll ausgenutzt werden

Natürlich versuche ich die Session durch ID prüfen, IP prüfen, Ablaufzeit usw möglichst sicher zu mache. Ich wollte einfach nur verhindern, dass Jemand der vielleicht beim Benutzer in der Leitung lauscht hinter dessen Datenbankinformationen kommt. Ein weiterer Sicherheitsaspekt ist dann noch, dass er seine DB so konfiguriert, dass nur unsere IP Adresse drauf zu greifen kann.


Gestern hab ich dann was gefunden, was ungefähr dem entsprich und das ich jetzt, auch wenn es vielleicht „dumm“ ist einbaue. base64_decode und base64_encode. Hier wird nicht mal ein Passwort vergeben, der String wird einfach verschlüsselt und wenn man weiß wie es gemacht ist, ist das ein Kinderspiel es wieder zu entschlüsseln aber wenn man nicht weiß was es ist und folgende Zeichenkette sieht: ±êi†‰ì, sollte es einen Angreifer zumindest mal verwirren

Mein weiteres Vorgehen wird sein, dass ich mich mit der Session wirklich näher beschäftige und einschlägige Literatur zu Rate ziehe.


Auf alle Fälle danke an Alle für eure Mühe.

Ach komm, so'n Käse kannste dir wirklich sparen.

Base64 dürfte jeder, der dieses Verfahren nicht erst gestern entdeckt hat, gleich vermuten, wenn er die Daten sieht.

Diese "Kodierung" (Verschlüsselung kann man das nun wirklich nicht nennen, es ist schlicht und einfach ein Verfahren, 8-Bit-Binärdaten auf eine kleinere Menge gebräuchlicher Text-Characters abzubilden) wird bspw. auch für Dateianhänge in Emails etc. benutzt.

Ich würde von base64 auch abraten, sondern crypt() verwenden (oder einen eigenen shiftregisteralgorithmus), damit man nicht aus den sessiondaten allein schon den inhalt bekommt, sondern mindestens ein zweites Element braucht.

Und noch mehr würde ich mir den sessionzauber dafür überhaupt ersparen, weil spätestens wenn es in der unnötigen Komplexität einen Programmierfehler oder was auch immer gibt hat es sich nicht gerechnet. Der Frager weiss auch noch nicht einmal (*), wo die Engpässe in seiner Applikation sein werden.

So würde ich das gesehen haben

(*) zugegebenermassen als Schätzung.

<<
Natürlich versuche ich die Session durch ID prüfen, IP prüfen, Ablaufzeit usw möglichst sicher zu mache. Ich wollte einfach nur verhindern, dass Jemand der vielleicht beim Benutzer in der Leitung lauscht hinter dessen Datenbankinformationen kommt. Ein weiterer Sicherheitsaspekt ist dann noch, dass er seine DB so konfiguriert, dass nur unsere IP Adresse drauf zu greifen kann.
>>
egal, ob es um ein locale netzwerk, oder internet handelt, ich habe von keiner deiner Aussage der Sinn für Sessiondaten-verschlüsselung gefunden.

deshalb sehe ich auch kein Sinn über die Verschlüsselungverfahren zu sprechen, besonders über base64

Also nenne mir wenigsten 1 Grund, warum sessions-daten verschlüsselt sein müssen!
mit einem realistischen Beispiel bitte!

Nun ja wenn ich den String vorher gesehen hätte, ich hätte es nicht gewusst, aber Du hast recht, so überlegt jemand der die Session hacken kann weiß auch was dieser String bedeutet.

Man sieht es schon an den = Zeichen am Schluss.

nicht immer
wenn die daten sich durch 6 bit ohne den Rest teilen lassen, dann gibt es kein "="
am ende.