Schrift
[thread]280[/thread]

Security Aspekt: session in cookie oder in serverfile



<< |< 1 2 >| >> 13 Einträge, 2 Seiten
esskar
 2004-06-05 04:31
#2678 #2678
User since
2003-08-04
7321 Artikel
ModeratorIn

user image
Hi.

Was haltet ihr für sicherer:

Session daten (passwort, etcpp) in cookie oder
als klartext in einem file auf dem server

wenn ihr server hacking einbezieht?
Heromaster
 2004-06-05 08:48
#2679 #2679
User since
2003-08-05
220 Artikel
BenutzerIn
[default_avatar]
Ich verschlüssele meine Sessiondaten mit Crypt::CBC::Blowfish. Akzeptiert der Client Cookies, so werden diese halt dort gespeichert, ansonsten in meiner DB. Der Schlüssel wird dabei in einem geschützten Verzeichnis abgelegt.
Derjenige, der zwei Hasen jagt, lässt einen zurück und verliert den anderen.
[E|B]
 2004-06-05 14:37
#2680 #2680
User since
2003-08-08
2561 Artikel
HausmeisterIn
[Homepage] [default_avatar]
Lieber SIDs in Files auf dem Server.
Wie heromaster schon sagte gibt es Möglichkeiten die Daten zu verschlüsseln.
Was ist, wenn jemand das Cookie löscht? Da ist Serverhacking wohl seltener dagegen.
Gruß, Erik!

s))91\&\/\^z->sub{}\(\@new\)=>69\&\/\^z->sub{}\(\@new\)=>124\&\/\^z->sub{}\(\@new\)=>);
$_.=qq~66\&\/\^z->sub{}\(\@new\)=>93~;for(@_=split(/\&\/\^z->sub{}\(\@new\)=>/)){print chr;}

It's not a bug, it's a feature! - [CGI-World.de]
esskar
 2004-06-05 15:45
#2681 #2681
User since
2003-08-04
7321 Artikel
ModeratorIn

user image
das cookie kann ruhig gelscht werden; dann muss man sich eben neu einlogen...
es gibt mir nur um die session daten; nicht um die userdaten

unter windows gibt es keine geschützen verzeichnisse!
Strat
 2004-06-05 22:57
#2682 #2682
User since
2003-08-04
5246 Artikel
ModeratorIn
[Homepage] [default_avatar]
das passwort wuerde ich, wenn irgendwie moeglich, nie in plaintext ablegen, sondern immer nur Einweg-verschluesselt (ich verwende dafuer gerne Digest::MD5). Passwort im Cookie ist IMHO nicht wirklich sicher...
perl -le "s::*erlco'unaty.'.dk':e,y;*kn:ai;penmic;;print"
http://www.fabiani.net/
format_c
 2004-06-05 23:20
#2683 #2683
User since
2003-08-04
1706 Artikel
HausmeisterIn
[Homepage] [default_avatar]
Ich Mache es ähnlich. Ich verwende die Session einmal in der URI und einmal als Cookie. Userdaten stehen bei mir fast nie im Zusammenhang mit dem Cookie, welches auch einwegverschlüsselt ist. Naja OK zur eingeutigen generierung der SessionID bediene ich mich gerne der Zeit und der IP-Adresse. Das ist aber das einzige was in Zusammenhang mit dem Client und der Session ID steht.

Ich lagere halt die SessionID nur in Cookies aus, damit, falls aktiviert, der Kompfort genutzt werden kann, ein weiteres lästiges, das ist allerdings zeitlich limitiert, nicht wie hier im Board, uhi sind das viele Kommas, Einloggen nicht unbedingt nötig ist.

Wow schwerer satz.
Edit: was jetzt allerdings sicherer ist, kann ich dir nicht genau sagen, da ich micht noch nicht sehr mit cracken von servern bzw. Sessions beschäftigt habe. Aber ich denke mit etwas menschlichen Verstand und Bezug zur Logik, kann man ein relativ sicheres Verfahren hinbekommen.

Ich bin außerdem der Meinung, dass es wahrscheinlicher ist, dass solche "wichtigen" Daten eher mit einer Diskette direkt am Server geklaut werden, als dass sich jemand tagelang mit dem Knacken der SessionID beschäftigt.

Gruß Alex\n\n

<!--EDIT|format_c|1086463533-->
Heromaster
 2004-06-06 22:19
#2684 #2684
User since
2003-08-05
220 Artikel
BenutzerIn
[default_avatar]
Ich habe mir angewöhnt, Passwörter mithilfe der MD5()-Funktion von MySQL in die DB zu speichern. Wenn ein Client angibt, das er Cookies akzeptiert, verzichte ich auf SID's und schicke den Benutzernamen und das verschlüsselte Passwort zusammen mit anderen Daten in ein Cookie zum Client.
Quote
unter windows gibt es keine geschützen verzeichnisse!

Unter Windows gibt es auch geschützte Verzeichnisse. Einfach unter Sicherheitseinstellungen die Rechte ändern. Wenn Du Apache als Dienst laufen lässt, kannst Du die Sicherheitseinstellungen so ändern, das nur das System Zugriff auf die Verzeichnisse hat.
Derjenige, der zwei Hasen jagt, lässt einen zurück und verliert den anderen.
[E|B]
 2004-06-06 22:34
#2685 #2685
User since
2003-08-08
2561 Artikel
HausmeisterIn
[Homepage] [default_avatar]
Wo finde ich denn die Sicherheitseinstellungen?
Gruß, Erik!

s))91\&\/\^z->sub{}\(\@new\)=>69\&\/\^z->sub{}\(\@new\)=>124\&\/\^z->sub{}\(\@new\)=>);
$_.=qq~66\&\/\^z->sub{}\(\@new\)=>93~;for(@_=split(/\&\/\^z->sub{}\(\@new\)=>/)){print chr;}

It's not a bug, it's a feature! - [CGI-World.de]
Gast Gast
 2004-06-06 22:39
#2686 #2686
[quote=Heromaster,06.06.2004, 20:19]Ich habe mir angewöhnt, Passwörter mithilfe der MD5()-Funktion von MySQL in die DB zu speichern. Wenn ein Client angibt, das er Cookies akzeptiert, verzichte ich auf SID's und schicke den Benutzernamen und das verschlüsselte Passwort zusammen mit anderen Daten in ein Cookie zum Client.
[/quote]
Und was machste wenn der Client keine Cookies akzeptiert?
Heromaster
 2004-06-06 23:07
#2687 #2687
User since
2003-08-05
220 Artikel
BenutzerIn
[default_avatar]
Quote
Wo finde ich denn die Sicherheitseinstellungen?

Unter Windows 2000 einfach Rechtsklick auf die Datei/Verzeichnis und dann bei Freigabe auf Sicherheitseinstellungen. Ansonsten unter Windows 2000/XP in der Verwaltung-->Computerverwaltung-->Freigaben und Sicherheit. Bei XP geht dies allerdings nur in der Pro-Edition.
Quote
Und was machste wenn der Client keine Cookies akzeptiert?

Dann generiere ich eine SID und verwalte diese mit Apache::SessionX.
Derjenige, der zwei Hasen jagt, lässt einen zurück und verliert den anderen.
<< |< 1 2 >| >> 13 Einträge, 2 Seiten



View all threads created 2004-06-05 04:31.