Wie sicher sind eigentlich Sessions

**admin** · 24.06.2002, 12:07

neine, Sessionvariable werden auf dem Server gespeichern
ich denke das ist wohl die sicherste methode

**Blaster** · 24.06.2002, 13:08

Hi,

bei vertraulichen Anwendungen, wie z.B. online banking, werden die sessions , verschlüsselt und ge-hashed, d.h. eine serverseitige Wertepaarzuweisung erfolgt. Zusetzlich werden die Verbindungen mit SSLv3 gesichert.

90% aller PHP-Entwickler gehen mit sessions recht fahrlässig um, etwa eindrittel verschüsselt die Cookies nicht mal, die DB reletante Info#s enthalten - ein Fest für jeden Kiddy-Hacker.

cu

Blaster

**goth** · 24.06.2002, 13:26

@Blaster: machmal wundere ich mich echt über Dich ... woher nimmst du den Quatsch immer den du da erzählst ... die PHP-Sessions haben nicht die Bohne was mit 'DB relevanten Info's' zu tun ... wenn sich ein Entwickler sein eigenes Session-Management bastelt und dabei entsprechend fahrlässig vorgeht ... bitte ... aber in dieser Frage ging es ja wohl um die integrierten PHP-Sessions!!!

Das wirkt recht albern für jemanden der sonst altklug von 'Middle/Multi-Tier' Anwendungen erzählt!

**pekka** · 24.06.2002, 13:29

Wenn Du eine Session erzeugst, die *auf dem Server* mit einer Tabelle verknüpfst, die Benutzernamen und Passwort enthält, ist das m.E. so sicher, wie Du es mit vertretbarem Aufwand machen kannst. Die Logindaten dürfen auf keinen Fall im Browser des Anwenders landen, auch nicht als temporäre Cookies. Das Cookie, das an den Browser geht, sollte ausschliesslich eine 10-oder mehrstellige Session-ID enthalten. Damit ist das Hack-Risiko darauf minimiert, dass man während der Session den Browser des Benutzers ausspäht.

**Carsten Henkelmann** · 24.06.2002, 16:30

Vielen Dank für die ganzen Infos! Damit kann ich gut was anfangen.

Bis denne...

Carsten

**Blaster** · 24.06.2002, 18:21

@goth:

Glaub mir, ich weiß wovon ich rede ... und würdest Du aufhören hinter mir her zu kaspern . - Danke!

**bohni** · 24.06.2002, 19:39

@Blaster: Es sei nur mal kurz die Frage erlaubt, wieso man die Session-Cookies verschlüsseln sollte, da steht ja sowieso nur die Session-ID drin (es sollte jedenfalls so sein), und die bekommt man ja auch übers http-Protokoll raus.

Also ich für meinen Teil halte die Sessions so sicher, wie das darunterliegende Protokoll/Verfahren, da man ja die Zugangsdaten auch schon beim Senden an den Server abfangen könnte.

**goth** · 24.06.2002, 20:10

@Blaster: Das glaube ich manchmal eben nicht ... ich kasper nur hinter Dir her wenn du vor mir her kasperst ... aber glaube mir: Du bist nicht das Zentrum der Welt!

**Blaster** · 24.06.2002, 20:13

@bohni:

Jupp! Beantwortest Du die Frage nicht selbst?! Die Session-ID ist der Schlüssel zum serverseitigen 'Session-Array'. Kann mittels Sniffer im HTTP Protokoll gelesen werden. So! Jetzt allozierst Du mal, dass z.B. ungehashed eine Bedingungsabfrage für SQL die 'serverseitig' weggespeichert wird, wie Konto-Nr. od. PIN. Und e´vola der Hacker ist ohne Authentikation im Stream einfach über die Session-ID. Glückwunsch!

Aber zugegeben - pekka hat recht, für wen lohnt sich ein solcher Aufwand schon. Ich wollte ja nur expitzit auf dieses Sicherheitsloch hinweisen, weil danach gefragt.

Daten gelten als sicher, wenn:

1) Der betriebene Aufwand den Nutzen über steigt.
2) Der Zeitwand zum Cracken die Wertdauer der Infomation überdauert.

William Stallings - "Sicherheit im Internet"
ISBN 3-8273-1697-9 ca. 50 €

**goth** · 24.06.2002, 20:23

Ich fasse es nicht

Ich bin doch mal gespannt aus welchem Grunde man Deine 7.000 mal verschlüsselte und (wieder einmal bin ich glücklich) gehashte SessionID nicht mit sniffen kann ...

Das einzige was nachvollziehbar ist die Verschlüsselung via SSL ... alles Andere ist ja wohl Tinnef!

Da empfielt es sich eher, nachdem eine Session erstellt wurde, die RemoteIP zu speichern und diese bei jedem reopen gegenzuprüfen!

Wie sicher sind eigentlich Sessions