HTTP/HTTPS-Cookie - Secure Flag fehlt (Off Off Topic)

[thread]20590[/thread]

HTTP/HTTPS-Cookie - Secure Flag fehlt

Tags: https Cookie Ähnliche Threads

Leser: 63

Articles: hide open all | hide show old branches

+18 replies
rosti

2019-02-21 08:53

User since
2011-03-19
3472 Artikel
BenutzerIn

Quote
Es ist sichere Verbindung über SSL/TLS im Forum möglich.

Ne issses nicht: Ihr habt vergessen den Secure-Parameter im Cookie zu setzen. So ist meine Anmeldung unter HTTP auch auf HTTPS gültig und das darf gar nicht sein.

Aber von mir aus muss hier niemand auf HTTPS umstellen.

MFG

Splitted from Zertifikat für Perl-Community.de msg #134742
Last edited: 2019-02-21 12:43:37 +0100 (CET)
- +14 replies
- pq
  
  2019-02-21 09:44
  
  User since
  2003-08-04
  12208 Artikel
  Admin1
  
  2019-02-21T07:53:23 rosti
  Ne issses nicht: Ihr habt vergessen den Secure-Parameter im Cookie zu setzen. So ist meine Anmeldung unter HTTP auch auf HTTPS gültig und das darf gar nicht sein.
  
  Kannst du bitte beschreiben, wie du bei der Anmeldung vorgehst?
  Der secure Parameter ist gesetzt. Gehe ich auf HTTP, bin ich nicht mehr eingeloggt.
  Wenn das bei dir nicht der Fall ist, machst du irgendwas anders.
  
  Edit: Ach, ich lese gerade, dass du es andersherum meintest.
  Login über HTTP ist auch in HTTPS gültig.
  Also ich kann nur sagen, dass der secure-Parameter auf 1 oder 0 gesetzt wird, abhängig davon, wie die Seite aufgerufen wird.
  Wenn du dich über HTTP einlogst, würde ich aber sagen, ist da schon das Problem.
  
  Edit 2: Ich kann auch nichts darüber finden, dass das secure Flag andersherum genauso funktionieren soll. Es ist dafür da, Cookies mit gesetztem Flag nicht über HTTP zu übertragen. Ich lese jedoch nichts davon, dass Cookies ohne das Flag nicht über HTTPS übertragen werden sollen.
  
  Also bitte ich um Aufklärung deinerseits, was nun genau das Problem ist. Bin über Bug-Reports durchaus dankbar.
  Last edited: 2019-02-21 09:56:14 +0100 (CET)
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
  - +3 replies
  - Crian
    
    2019-02-21 09:47
    
    User since
    2003-08-04
    5870 Artikel
    ModeratorIn
    
    Das wäre natürlich schon wichtig zu wissen, auf welchem Weg das gelingt.
    s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;
    
    use strict; use warnings; Link zu meiner Perlseite
    - gelöscht 2020-06-21 10:25
    - gelöscht 2021-10-11 18:29
  - +8 replies
  - rosti
    
    2019-02-21 17:30
    
    User since
    2011-03-19
    3472 Artikel
    BenutzerIn
    
    Nun, wenn das so ist, daß das Secure-Flag in diesem Falle wirkungslos ist, würde ich den HTTP Server abschalten.
    
    MFG
    - +5 replies
    - pq
      
      2019-02-21 17:52
      
      User since
      2003-08-04
      12208 Artikel
      Admin1
      
      nicht ernstgemeinte bugreports bitte gleich in off off topic schreiben, danke.
      :(
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - +2 replies
      - rosti
        
        2019-02-21 18:25
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Es ist ja kein Bug. Und auch keine Empfehlung. Ich schreibe hier nur wie ich das machen würde.
        
        Und ein Login, der unter HTTP möglich und gültig ist, würde ich unter HTTPS ungültig machen. Also den Cookie nicht übernehmen. Eine derartige Sicherheitslücke würde ich nicht zulassen. Und auch nicht als Off-Topic abtun wenn mich jemand darauf hinweisen würde.
        
        MfG
        Last edited: 2019-02-21 18:57:11 +0100 (CET)
        
        pq
        
        2019-02-21 19:14
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        2019-02-21T17:25:01 rosti
        
        Und ein Login, der unter HTTP möglich und gültig ist, würde ich unter HTTPS ungültig machen. Also den Cookie nicht übernehmen. Eine derartige Sicherheitslücke würde ich nicht zulassen.
        
        Pull Request willkommen.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - gelöscht 2020-06-21 10:25
      - gelöscht 2021-10-11 18:29
    - gelöscht 2020-06-21 10:25
    - gelöscht 2021-10-11 18:29
  - gelöscht 2020-06-21 10:25
  - gelöscht 2021-10-11 18:29
- pq
  
  2019-02-21 17:52
  
  User since
  2003-08-04
  12208 Artikel
  Admin1
  
  Verschoben von Bugs nach Off Off Topic
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- gelöscht 2020-06-21 10:25
- gelöscht 2021-10-11 18:29

View all threads created 2019-02-21 12:43.