php-resource




Archiv verlassen und diese Seite im Standarddesign anzeigen :
Sicherheitslücke aufgrund Proxiserver


 
sanktusm
19-11-2008, 16:29 
 
Hallo.
um zu verhindern, dass sessions übernommen werden können z.B. über die Url habe ich folgende vorkehrungen getroffen:


if(!isset($_SESSION['kn4log'], $_SESSION['passwort4log']))
{
$_SESSION['kn4log'] = $_POST['email'];
$_SESSION['passwort4log'] = $_POST['passwort'];
}

if(!isset($_SESSION['IP'])) {
$_SESSION['IP'] = $_SERVER['REMOTE_ADDR'];
}

include '../db/mysql.inc.php';
include '../db/connect.php';
include 'function.php';

if(!login_right(addslashes($_SESSION['kn4log']), addslashes($_SESSION['passwort4log'])))
{
header("Location: login.php?sign=errlog");
exit;
}

if($_SESSION['IP'] != $_SERVER['REMOTE_ADDR'])
{
header("Location: login.php?sign=errlog");
exit;
}



Es wird die IP-Adresse gescannt. Wenn jedoch jemand sicher über einen Proxiserver anmeldet kann ein anderer der ebenfalls den gleichen Proxiserver benutzt die Session übernehmen denn es ist ja die gleiche IP Adresse

Was kann ich dagegeben tun?

 
Skaschy
19-11-2008, 16:45 
 
Nichts, außer noch den Browsernamen zu speichern.

 
sanktusm
19-11-2008, 17:44 
 
der login um einiges später erfolgt

 
PHP-Desaster
19-11-2008, 21:54 
 
Schreib deine Antwort doch mal in den Beitrag und nicht in dessen Titel


Alle Zeitangaben in WEZ +2. Es ist jetzt 04:08 Uhr.