[CGI::Session] Prüfen ob einzelner gespeicherter Parameter abgelaufen (gelöst) (Fragen zu Perl-Modulen)

[thread]21557[/thread]

[CGI::Session] Prüfen ob einzelner gespeicherter Parameter abgelaufen [gelöst]

Tags: perl5 session Ähnliche Threads

Leser: 6

Articles: hide open all | hide show old branches

Teilbaum:
Lösung (0 Artikel) 2024-05-04 10:22

+19 replies
GwenDragon

2024-05-02 17:04

User since
2005-01-17
14748 Artikel
Admin1

Wenn in einer Session die nach 1 Stunde abhläuft, aber ein Sicherheitstoken (gegen XSRF) verwendet wird und alle 10 Minuten ablaufen soll, muss ich ja prüfen können, ob der Parameter noch gültig ist oder ich den Zeitraum udn neuen Wert wieder setzen muss, denn sonst ist ja nach 11 Minuten die ganze Session ungültig.

$session->param($token_name, $token_value); setzt den Wert.
$session->param($token_name); liefert ja nur den Wert.
$session->expire($token_name, $time); setz den Ablauf nach Erstellung.
$session->is_expired($token_name); GIBT ES NICHT.

CGI::Session

Irgendeine Idee zur Lösung?

Denn mein Jetziges, dass der Wert und Ablaufzeitpunkt nach jedem Request neu gesetzt wird, ist für mich nicht so sinnvoll, wenn auch machbar.
Last edited: 2024-05-02 18:01:49 +0200 (CEST)
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +3 replies
- rosti
  
  2024-05-02 17:39
  
  User since
  2011-03-19
  3472 Artikel
  BenutzerIn
  
  Quote
  Wenn in einer Session die nach 1 Stunde abläuft...
  
  Eine Session dauert so lange wie sie dauert. Also bis der Browser geschlossen wird. Von daher hat ein Session-Cookie kein expires-Parameter; und so löscht der Browser den Cookie wenn er geschlossen wird.
  
  MFG
  - +2 replies
  - GwenDragon
    
    2024-05-02 17:54
    
    User since
    2005-01-17
    14748 Artikel
    Admin1
    
    Es geht hier nicht um das Cookie!
    Es geht darum, zu prüfen ob bestimmte Daten im Session-Pool (Datei, Datenbank) abgelaufen sind.
    Eine Session wegzuwerfen, wenn das Token abgelaufen ist, ist von der Logik zu viel.
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - rosti
      
      2024-05-02 19:23
      
      User since
      2011-03-19
      3472 Artikel
      BenutzerIn
      
      $session->expire($token_name, $time); #setz den Ablauf nach Erstellung.
      
      Dump mal das $session Objekt. Da muß expires ja irgendwo drinstehen. Und so kannst auch prüfen ob abgelaufen.
      
      mfg
- +6 replies
- Linuxer
  
  2024-05-03 08:00
  User since
  2006-01-27
  3890 Artikel
  HausmeisterIn
  expire($token_name, $time) speichert das ja in einer Hash-Struktur unter _SESSION_EXPIRE_LIST:
  
  Code (perl): (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12
  
  # If we get this far, we expect expire($param,$time) # ( This would be a great use of a Perl6 multi sub! ) else { my ($param, $time) = @_; if ( ($time =~ m/^\d$/) && ($time == 0) ) { delete $self->{_DATA}->{_SESSION_EXPIRE_LIST}->{ $param }; $self->_set_status( STATUS_MODIFIED ); } else { $self->{_DATA}->{_SESSION_EXPIRE_LIST}->{ $param } = $self->_str2seconds( $time ); $self->_set_status( STATUS_MODIFIED ); } }
  
  Darauf aufbauender Gedanke:
  
  Mensch könnte nun CGI::Session um eine Methode erweitern, die den Tokennamen entgegennimmt und die gespeicherte Zeit zurückliefert.
  
  Code (perl): (dl )
  
  1 2 3 4 5
  
  sub CGI::Session::get_token_expiry() { my ( $self, $param ) = @_; # maybe more checks to protect against auto-vivification return $self->{_DATA}->{_SESSION_EXPIRE_LIST}->{$param}; }
  
  meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
  Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
  - +5 replies
  - GwenDragon
    
    2024-05-03 10:27
    
    User since
    2005-01-17
    14748 Artikel
    Admin1
    
    Danke für den Tip.
    Es ist sinnvoll CGI::Session um ein paar Methoden aufzubohren.
    Last edited: 2024-05-03 10:29:14 +0200 (CEST)
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +4 replies
    - rosti
      
      2024-05-03 12:05
      
      User since
      2011-03-19
      3472 Artikel
      BenutzerIn
      
      2024-05-03T08:27:19 GwenDragon
      Danke für den Tip.
      Es ist sinnvoll CGI::Session um ein paar Methoden aufzubohren.
      
      Vererbung ;)
      - +3 replies
      - GwenDragon
        
        2024-05-03 13:57
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Ja, entweder eigenes Modul und dann per @ISA oder use parent oder use base erben oder eben CGI::Session::XYZABC() in main() der Webanwendung definieren ;-)
        Last edited: 2024-05-03 14:00:28 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +2 replies
        
        rosti
        
        2024-05-03 16:06
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Oder, wenn Du, aus welchem Grund auch immer, nicht erben möchtest, quick&dirty:
        
        Code (perl): (dl )
        
        1 2 3 4
        
        # in der main sub CGI::Session::is_expires{ my $self = shift; }
        
        GwenDragon
        
        2024-05-03 16:12
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Ja, in Perl ein nützlicher Fall von "Ich-schmeiß-mich-weg" wegen Enterbung ;-) SCNR
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- GwenDragon
  
  2024-05-03 10:09
  
  Subtree with 1 replies: Lösung
  User since
  2005-01-17
  14748 Artikel
  Admin1
  Oh je, ich hab das übersehen; bei abgelaufenen Parametern schlägt in load() ja clear() zu, was bedeutet, dass param() dann undefined liefert.
  Siehe auf CPAN Session.pm Zeile 750:
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10
  
  # checking expiration tickers of individuals parameters, if any: my @expired_params = (); if ( $self->{_DATA}->{_SESSION_EXPIRE_LIST} ) { while (my ($param, $max_exp_interval) = each %{ $self->{_DATA}->{_SESSION_EXPIRE_LIST} } ) { if ( ($self->{_DATA}->{_SESSION_ATIME} + $max_exp_interval) <= time() ) { push @expired_params, $param; } } } $self->clear(\@expired_params) if @expired_params;
  
  Also ist
  not defined $session->param($token)
  gleichbedeutend mit einem noch von mir hinzuzufügenden
  $session->is_expired($token)
  
  beispielhafte Lösung:
  
  Code: (dl )
  
  1 2 3 4 5 6
  
  if ( not defined $session->param( $tokenname ) { # Parameter der Session abgelaufen? my $tok = CreateNewToken(); # Neues Token erstellen $session->param( $tokenname, $tok ); # Token in Session speichern $session->expire( "10m" ); # Token nach 10 Minuten ablaufen lassen $session->flush(); # Session speichern }
  
  Leider steht nix in der Doku, dass ein abgelaufener Parameter undef liefert
  
  Quote
  returns a session parameter set to $name or undef if it doesn't exist
  — https://metacpan.org/release/MARKSTOS/CGI-Session-...
  
  Und ich habe in der Doku clear() anders interpretiert.
  Das kommt davon, wenn eine nicht im Quellcode sucht und analysiert.
  
  Editiert von GwenDragon: Beispiel für Lösung hinzugefügt
  Last edited: 2024-05-04 10:22:44 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +7 replies
- rosti
  
  2024-05-04 15:35
  User since
  2011-03-19
  3472 Artikel
  BenutzerIn
  Das Problem was dieses Modul hat: Auch wenn expires zutrifft sind die Daten immer noch vorhanden. D.h., daß auch die param() Methode diese Daten liefert wenn das Session-Objekt mit derselben id erstellt wird. Wobei die id ja der Browser in einem Cookie sendet bim Request.
  
  CGI::Session hat also ein Sicherheitsproblem, da ist noch Einiges zu tun. Mögliche Lösung:
  
  Code: (dl )
  
  1 2 3 4 5 6
  
  CREATE TABLE `session` ( `sid` varchar(48) NOT NULL DEFAULT '', `data` text DEFAULT NULL, `ctime` timestamp NOT NULL DEFAULT current_timestamp(), PRIMARY KEY (`sid`) )
  
  also ein Feld mit dem current_timestamp, so kann man über dieses Feld alle Einträge löschen die abgelaufen sind. Und auch feststellen ob die Daten noch gültig sind.
  
  Mfg
  - +6 replies
  - GwenDragon
    
    2024-05-04 15:54
    
    User since
    2005-01-17
    14748 Artikel
    Admin1
    
    Session-Hijacking ist meines Erachtens möglich, wenn den Angreifern Cookie + sid + Token bekannt, und das Token noch nicht abgelaufen ist.
    Das Pragma '-ip_match' kann das aber bei CGI::Session einschränken.
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +5 replies
    - rosti
      
      2024-05-04 16:00
      
      User since
      2011-03-19
      3472 Artikel
      BenutzerIn
      
      Was für ein token?
      
      Code: (dl )
      
      1 2 3 4 5 6 7
      
      $VAR1 = [ { 'ctime' => '2024-05-04 15:52:50', 'data' => '$D = {\'_SESSION_ATIME\' => 1714831140,\'_SESSION_CTIME\' => 1714830769,\'_SESSION_ID\' => \'f79ea45bcfc2a2ed891f1bca982ac6d9\',\'_SESSION_REMOTE_ADDR\' => \'\'};;$D', 'sid' => 'f79ea45bcfc2a2ed891f1bca982ac6d9' } ];
      
      ich sehe da keinen token.
      
      .
      Last edited: 2024-05-04 16:01:09 +0200 (CEST)
      - +4 replies
      - GwenDragon
        
        2024-05-04 16:33
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Wie soll dein Beispiel gegen Session-Hijacking helfen? Erklär doch mal.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        +3 replies
        
        rosti
        
        2024-05-04 16:41
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        gegen Session-Hijacking habe ich kein Beispiel. Ich habe lediglich darauf hingewiesen daß es in CGI::Session ein Sicherheitsproblem gibt, weil Session-Daten weiterhin persistent (und auch abrufbar!) sind auch wenn sie im Sinne des Modul-Autors abgelaufen sind.
        
        D.h., daß CGI::Session keinen Mechanismus vorsieht, abgelaufene Daten zu löschen.
        
        Mfg
        
        +2 replies
        
        GwenDragon
        
        2024-05-04 16:54
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Ah, das meinst du; ja, die Dateileichen existieren dann noch. Ein Mangel.
        Das Modul ist schlecht ausgestattet.
        Da hilft nur das Löschen der abgelaufenen Sessiodateien im Programm über den Dateinamen bzw. bei einer Datenbank per SQL un Zeitstempel.
        Last edited: 2024-05-04 16:55:46 +0200 (CEST)
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        rosti
        
        2024-05-04 17:01
        
        User since
        2011-03-19
        3472 Artikel
        BenutzerIn
        
        Genau ;)
- rosti
  
  2024-05-05 16:14
  
  User since
  2011-03-19
  3472 Artikel
  BenutzerIn
  
  Mein Framework ist übrigens immun gegenüber XSRF. Weil nach einer Anmeldung eine ganz andere Routingtable geladen wird.
  
  Demo: http://rolfrost.de/fuserlogin.html
  Nach der Anmeldung ist /fuserlogin.html nicht mehr in der Routingtable.
  
  mfg
  Last edited: 2024-05-05 16:24:55 +0200 (CEST)

View all threads created 2024-05-02 17:04.