sicher programmieren

[Filou]

hi

also ich hätte da mal eine frage an experten.

wenn man etwas komplexes macht, mit memberverwaltung, wichtigen daten, usw...

welche sicherheitsvorkejrungen würdet ihr treffen.

1.) sessions vor dem registrieren encoden und dann wieder für die benutzung decoden, damit keiner am server, wenn er die offenen sessions liest an daten rankommt ?

2.) jedes eigabefeld mit strip_tags behandeln ?

3.) nur auf die superglobalen variablen setzen, also server mit register globals on benutzen ?

4.) datenbankverbindungsdatenein mit passwörtern auf jeden fall über dem öffentlichen ordner legen, wo keiner einfach zugreifen kann ?

5.) userregistrierung mit emailbestätigung und adminfreischaltung einrichten ?

6.) ...

7.) ...

bitte um ergänzung oder verbesserung der oberen punkte.
thx

ciao filou

[Boris]

1. Das wäre total übertrieben und aus meiner Sicht auch unnötig.

3. Ja und nein. Du solltest nur mit den Superglobals arbeiten (sprich: $_POST, $_GET etc.). In dem Fall müsste man "server mit register globals off benutzen" (interessanter Satz von Dir, hehe)

[Filou]

natürlich globals off, legastenikerfehler...

zu 1 weiß ich nicht genau, wenn man eine session nicht beendet, bleibt die ja am server noch einige zeit erhalten, oder ?
wäre dies kein problem.

ciao filou

[seb]

Wer hat denn im Normalfall Zugriff auf das Dateisystem des Servers, darf aber keine Session-Daten zu Gesicht bekommen?

Das wäre ne eigenartige Rechteverteilung, oder lass ich gerade irgendwas ausser acht?

Und was meinst du überhaupt damit, eine Session zu encoden?

[Filou]

naja ein freund hat es geschafft, auf lurzem weg die inhalte sämtlicher sessions ausfindig zu machen.

werde dies hier natürlich nicht erleutern, hängt wohl auch von der rechtevergabe am server ab.

auf jeden fall hat mich diese sache mit den sessions auslesen ein wenig schockiert. stellt euch vor, da stehen userdaten drinnen.

ciao filou

ps: @seb, na die inhalte zu encoden und dann bei ausgabe zu decoden

[Stuck Mojo]

in welcher Form wíllst du die denn encoden bzw. decoden? Ich sags mal so: Wenn jemand an deine Sessions herankommt, dann kommt er womöglich auch an deine Scripte heran, indenen ja die encode/decode-Funktionen stehen müssen, wie auch dein Key zum en/decodieren...

Ne Möglichkeit wäre für das Session-Handling eigene Funktionen zu schreiben, um deine Session-Files aus dem /tmp Ordner herauszuholen und das ganze dann womöglich über eine DB laufen zu lassen (http://de.php.net/manual/de/function...ve-handler.php). Hier könnte man vielleicht die MySQL-Funktionen DECODE und ENCODE nutzen um die Session-Daten zu verschlüsseln. Ne Demo-Datei fürs Handling über ne DB hab ich evtl. parat ...Nachteil: Auch hier muss der Key irgendwo abgelegt werden...

Desweiteren solltest du um höchstmögliche Sicherheit beim Session-Handling zu erhalten trans_sid ausschalten und das Session-Handling nur mit Cookies zulassen. So ist ein Klau der SID als GET-Parameter umöglich.

.htaccess:

Code:

php_flag session.use_trans_sid 0
php_flag session.use_only_cookies 1
php_flag register_globals 0

Gruss
Jan

[Filou]

@Stuck Mojo
danke, interessante aspekte, vor allem das mit den session-files aus dem /tmp ordner holen.

was würdet ihr sonst noch ausser meinen aufgezählten punkten beachten ?

ciao filou

[osiris]

Zitat:

Wer hat denn im Normalfall Zugriff auf das Dateisystem des Servers, darf aber keine Session-Daten zu Gesicht bekommen?

Das wäre ne eigenartige Rechteverteilung, oder lass ich gerade irgendwas ausser acht?

ein bissi ;-)

ich spreche hier jetzt von einem linux system, die sessions werden im norm fall unter /tmp gespeichert,
die session speichert der user der auch den webserver(damon) laufen lasst, oder anders ausgedrückt der webserver user speicher dort die daten ab. => somit ist es leicht möglich, das wenn jemand z.b. ein php scripterl schreibt, oder auch cgi, das er auf den /tmp ordner zugreift und inhalte 1. und die inhalte der inhalte heruaslesen kann =< somit werden eineige daten, eisst user daten die sich in der session befinden ersichtlich.
deshlab sollte man keine passwörter zumindest nicht unverschlüsselt in eine session speichern ;-)

alternative, um das ssession problem zu lösen, wäre z.b. wenn man mittels, spreche heir jetzt von php und der provider lässt es zu, wenn man mittels "session_save_path " den pfad auf den eingenen webspace umleitet. den da hat nicht ein jeder die rechte, denn wenn dannkann man nur mit dem webserver darauf steurn, nur der hat keine rechte darauf (userbezogen) wenn es sich unterm DocumentRoot befindet.
und beim ftp ist hoffentlich eh immer chroot eingestellt.

das wäre eine eventuel sichere methode bei sessions.

sorry, für die tippfehler bin nur grad etwas unter zeitdruck und wollte das ncoh schnell los werden ;-)

[Master_T2]

Zitat:

2.) jedes eigabefeld mit strip_tags behandeln ?

Was sind strip_tags?

[pauel]

wisse

[Master_T2]

danke dir.

[Filou]

Zitat:

Original geschrieben von osiris
ein bissi ;-)

ich spreche hier jetzt von einem linux system, die sessions werden im norm fall unter /tmp gespeichert,
die session speichert der user der auch den webserver(damon) laufen lasst, oder anders ausgedrückt der webserver user speicher dort die daten ab. => somit ist es leicht möglich, das wenn jemand z.b. ein php scripterl schreibt, oder auch cgi, das er auf den /tmp ordner zugreift und inhalte 1. und die inhalte der inhalte heruaslesen kann =< somit werden eineige daten, eisst user daten die sich in der session befinden ersichtlich.
deshlab sollte man keine passwörter zumindest nicht unverschlüsselt in eine session speichern ;-)

alternative, um das ssession problem zu lösen, wäre z.b. wenn man mittels, spreche heir jetzt von php und der provider lässt es zu, wenn man mittels "session_save_path " den pfad auf den eingenen webspace umleitet. den da hat nicht ein jeder die rechte, denn wenn dannkann man nur mit dem webserver darauf steurn, nur der hat keine rechte darauf (userbezogen) wenn es sich unterm DocumentRoot befindet.
und beim ftp ist hoffentlich eh immer chroot eingestellt.

das wäre eine eventuel sichere methode bei sessions.

sorry, für die tippfehler bin nur grad etwas unter zeitdruck und wollte das ncoh schnell los werden ;-)

hi

sehr interssante ausführung.

glaube, kenne dich osiris, alter kompane...

ciao filou

[Boris]

Zitat:

das er auf den /tmp ordner zugreift und inhalte 1. und die inhalte der inhalte heruaslesen kann =< somit werden eineige daten, eisst user daten die sich in der session befinden ersichtlich.

Wie soll das gehen, ein Skript schreiben, dass auf das /tmp-Verzeichnis eines Users zugreifen soll ... das geht nicht. Jeder User hat ein "eigenes" /tmp Verzeichnis, auf das kein anderer User zugreifen kann.

Oder hast Du das jetzt anders gemeint?

[osiris]

auf den bsd systemen ist meist der tmp ordner user spezifisch, das stimmt.
nur wieviele webhoster bzw. bzw. server gibt es schon die bsd oben haben, der grössere anteil ist nun mal redhat bzw. linux.
und dort gibt es einen /tmp ordner, aus sicherheitsgründen lege ich diesen z.b immer auf eine eigene partition, man weiss ja nie.
und in diesem sammeln sich die sessions etc.


machts mal einen kelinen test: schriebst eine php bzw script wleches den ordner /tmp ausliest ;-)

[Boris]

Ich nutze auf meinem Server derzeit noch SuSe 8.1 - und dort werden Sessions, Uploads & Co in /phptmp gespeichert - für jeden User extra. Ist nix mit auslesen