• Herkunft: Wolfenbüttel & Garching b. M.
  • Registrierungsdatum: 07-11-2000
  • Beiträge: 1.971

Thema: Sicherheit beim Login....

Hallo!

Irgendwo wurde hier einmal geschrieben, dass die Vergabe von Session-IDs alleine nicht sehr sicher ist; sollte diese, während die Session in Gang ist, au�erdem verwendet werden, haben Leutz ohne Zugangsberechtigung Zugriff. Als Möglichkeit, dies zu umgehen, wurde der Tipp gegeben, die IP mit zu protokollieren und zu vergleichen. Gesagt getan:
</font><blockquote><font size="1" face="Verdana, Helvetica, sans-serif">Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">    $ip = getenv('REMOTE_ADDR');
     if ($ip == $sIP) $identifiziert = TRUE;[/code]</blockquote><font size="2" face="Verdana, Helvetica, sans-serif">Ich habe dieses Script mal bei Lycos.fr hinterlegt - leider hat es nicht funktioniert, da sich die IP anscheinend geändert hat  <img border="0" title="" alt="[Enttäscht]" src="images/icons/frown.gif" />  (habe ich durch die Ausgabe der IP mitgekriegt)

Ist das normal?

Mamphil

The laws of physics are the canvas God laid down on which to paint his masterpiece. “Leonardo Vetra” in Dan Brown’s “Angels & Demons”

Mamphil's Webseite

2 Antwort von Gero

  • Gero
  • Mitglied
  • Offline
  • Herkunft: Dortmund
  • Registrierungsdatum: 14-09-2000
  • Beiträge: 1.398

Re: Sicherheit beim Login....

Moin

Ja, is normal. Zumindest bei einigen Providern. Die wechseln ab und zu die IP des Clients. Deshalb halte ich es auch für Schwachsinn, die IP des User irgendwie einzubeziehen. Weiß auch nicht, ob ein Proxy da so mitmachen würde.

Das die Session nicht sicher ist, ist mir allerdings neu. Wie soll man den da was knacken? Die Wahrscheinlichkeit, das jemand zufällig die SessionID eines Users eingibt, der grade online ist ist doch gleich Null.
 
  <small>[ 21-03-2002, 19:12: Beitrag editiert von: Gero ]</small>

Gero's Webseite

  • Herkunft: Wolfenbüttel & Garching b. M.
  • Registrierungsdatum: 07-11-2000
  • Beiträge: 1.971

Re: Sicherheit beim Login....

Hi!

Danke für die Antwort  <img border="0" title="" alt="[Breites Grinsen]" src="images/icons/grin.gif" /> . Der Gedanke war, dass man durch Eingabe der exakten URL sich als jemand anders ausgeben könnte. Dies ist natürlich etwas unwahrscheinlich, doch sicherer wäre es, wenn überprüft würde, ob WIRKLICH die Berechtigung vorliegt.

Mamphil

The laws of physics are the canvas God laid down on which to paint his masterpiece. “Leonardo Vetra” in Dan Brown’s “Angels & Demons”

Mamphil's Webseite

4 Antwort von Basti

  • Basti
  • Ehrenmitglied
  • Offline
  • Registrierungsdatum: 27-09-2001
  • Beiträge: 2.126

Re: Sicherheit beim Login....

...mit ner Fallback-Funktion kannst Du dieses Risiko ja noch weiter eingrenzen. Ich glaube, dass PHP sowas bei einer bestimmten Konf. auch automatisch macht. D.h. Beim Start einer Session setzt PHP je ein Cookie. Erst wenn es nicht angenommen wird, wird die SID per URI weitergegeben. Wie gesagt, entweder PHP machts ohnehin automatisch, oder Du musst 'ne Fallback-Funktion schreiben. Wenn ich mich recht erinnere, dann ist bei Koehntopp eine abgedruckt:
www.koehntopp.de/php

Somit wird die Session nur noch von einem dritten Rechner aus zugänglich, wenn 1. der ursprüngliche Client keine Cookies akzeptiert und 2. der URI während der Session von diesem an den Dritten weitergegeben wird.

Basti