[web189]

Hallo Leute,
ich arbeite gerade an einem Projekt, in welchem ich ein Loginsystem realisieren muss. Soweit funktioniert auch alles, allerdings hätte ich eine Frage bezüglich der Sicherheit von Sessions.

Bei mir wird auf jeder seite die Funktion checkAuth($id,$grp) aufgerufen, mit der ich überprüfe, ob der User noch angemeldet ist und ob er die entsprechende Seite sehen darf. $id und $grp sind hierbei $_Session Variablen. Nun meine Frage: Kann der User auf irgendeine Weise die Daten in $_Session verändern?

Im Prinzip möchte ich wissen, ob diese Art der Authentifikation sicher ist. (Es wäre sicherheitstechnisch wohl ziemlich unvorteilhaft, wenn man $id und $grp ändern kann )


Vielen Dank im Vorraus,

mfg
web189

[Diewie]

Die Daten der Session werden serverseitig gespeichert und können clientseitig nicht verändert werden.
Session Hijacking ist jedoch immer möglich, aber stellt im Allgemeinen keine große Gefahr dar, da es sehr aufwändig ist.

Du solltest nur darauf achten, dass die Sessions nicht zu lange gültig sind bzw. das deine Benutzer nirgendwo Adressen mit angehängter Session-ID veröffentlichen.

Viele Grüße,
Stefan

[web189]

Wunderbar, danke für die Antwort. Kann dann zu :-)

[tavoc]

ich würde trotzdem noch ein hash mitschicken.

D.h. der User loggt sich ein und in die DB wird ein zufälliger Wert geschrieben (Hash), dieser ist solange gültig wie der User angemeldet ist und wird auch jedesmal überprüft.

Sowie session.use_only_cookies=1 in die php.ini

Das sollte noch ein wenig mehr Sicherheit bringen.

Und schau dir das mal an:

http://www.thorix.de/2009/01/16/sicheres-l...und-javascript/

[asko]

Hallo,

alternativ zum Tutorial das tavoc gepostet hat, kannst Du dir auch mal Loginsysteme von Einfach bis Profi anschauen. Dort werden einige Dinge erklärt, die beim weiter oben erwähnten Tutorial außenvor gelassen wurden.

[web189]

Okay, danke für die vielen Tips. Die Links sehen vielversprechend aus, werde ich mir einmal zu gemüte führen.

mfg
web189