Ist mein Login-Script sicher?

[Boris]

Wozu schreibst Du in die Session einen Zufallsschlüssel? So hat das doch erstmal keinen Sinn - wie fragst Du diesen denn vergleichend ab, irgendwo musst Du den ja noch zusätzlich speichern.

[skipperjan]

Der kommt mit in die session, allerdings hast du recht, jetzt wo ich so drüber nachdenke, weiß ich gar nicht mehr wozu der gut sein sollte, ich glaub ich schau da nachher nochmal rein.

Notwendig ist aber eigentlich nicht, da hast du recht.

So long,

skip

[skipperjan]

Naja, das denke ich auch, daher nur prüfen, ob diese Session nicht schon vergeben ist.

Und warum ganz drauf verzichten? Ist doch eine nette einfache Chance einem User eindeutig bestimmte Parameter zuzuordnen, man muss ja das Rad nicht neu erfinden, ein wenig runder machen reicht doch

So long,

skip

[holunda]

Kurzer Beitrag zu einem sichern Login System:
Nach erfolgreichem Login sollte der Session Key neu generiert werden (session_regenerate_id) => Verhindert Session Fixation

grüße
Alex

[Boris]

Ein paar mehr Details wären nicht schlecht

Siehe: http://my2.php.net/session_regenerate_id

[seb]

Dann ist DSB's Idee doch nicht so blöd, wie ich vorhin voreiligerweise behauptet hatte (hab den Beitrag gelöscht...*peinlich*).

Was, wenn man mit session_regenerate_id() die Session-ID wirklich bei jeder Anfrage neu setzt? Funktionieren tut's ja...

Die Zeiträume, in denen ein Angreifer die Gelegenheit hätte, eine gültige Session-ID zu stehlen, werden damit ja auf die Zeiten zwischen zwei Anfragen eines berechtigten Users verkürzt (vorher die ganze Session).

Spricht irgendwas dagegen?

[holunda]

also bei jeder anfrage finde ich es schon übertrieben, evtl alle 3 mins oder so. Verwende es mometan nur -nach- erfolgreichem Login. Was ich leider auch nicht weiß, wies mit der Performance aussieht

Grüße
Alex

[seb]

Ich kann mir nicht vorstellen, dass sich das spürbar auf die Performance auswirkt. Es wir doch "fast nix" gemacht.

Es wird höchstens extrem nervig für Leute, die das Entgegennehmen jedes einzelnen Cookies per Hinweisfenster bestätigen wollen, da bei jeder Anfrage ein neues gesendet wird.

In erster Linie interessiert mich aber, ob die Annahme richtig ist, dass diese Vorgehensweise zu Erhöhung der Sicherheit beiträgt oder ich wieder irgend etwas nicht bedacht habe.

[Weede]

wird der cookie überschrieben oder wird jedes mal ein neues erstellt mit einer "+1" dahinter?

[Boris]

Es wird eine neue Session und ein neues Cookie generiert. Bei den Kommentaren von PHP.net steht im übrigen auch, dass die alten Sessiondaten aber nicht gelöscht werden (?) ... hm.

[|23|]

Zitat:

Zitat von Boris

Es wird eine neue Session und ein neues Cookie generiert. Bei den Kommentaren von PHP.net steht im übrigen auch, dass die alten Sessiondaten aber nicht gelöscht werden (?) ... hm.

das ist die möglichkeit auch raus. Denn den user mit 1000 Cookies voll zu span ist auch ned der sinn.

[steffenk]

ich möchte auf einen Artikel hinweisen.
unter [20] gibt es ein interessantes pdf zu diesem Thema !

http://www.php-mag.de/itr/online_art...nodeid,62.html

[|23|]

Zitat:

Zitat von St@eff.en

ich möchte auf einen Artikel hinweisen.
unter [20] gibt es ein interessantes pdf zu diesem Thema !

http://www.php-mag.de/itr/online_art...nodeid,62.html

sauber der Link habe es mir grade ausgedruckt und lese schon

[DSB]

Zitat:

Zitat von seb

Dann ist DSB's Idee doch nicht so blöd, wie ich vorhin voreiligerweise behauptet hatte (hab den Beitrag gelöscht...*peinlich*).

Och schade. Den hätte ich gern gelesen.

[seb]

Ich hatte geschrieben, dass man die Session dann auch gleich ganz weglassen könnte, weil es bei ständig wechselnder Session-ID ja nichts gäbe, worüber sich ein Benutzer bzw. Browser über mehrere Anfragen hinweg identifizieren könnte...war aber ein Denkfehler bzw. ein Nicht-Denk-Fehler.