Hallo Leute,
ich arbeite gerade an einem Projekt, in welchem ich ein Loginsystem realisieren muss. Soweit funktioniert auch alles, allerdings hätte ich eine Frage bezüglich der Sicherheit von Sessions.
Bei mir wird auf jeder seite die Funktion checkAuth($id,$grp) aufgerufen, mit der ich überprüfe, ob der User noch angemeldet ist und ob er die entsprechende Seite sehen darf. $id und $grp sind hierbei $_Session Variablen. Nun meine Frage: Kann der User auf irgendeine Weise die Daten in $_Session verändern?
Im Prinzip möchte ich wissen, ob diese Art der Authentifikation sicher ist. (Es wäre sicherheitstechnisch wohl ziemlich unvorteilhaft, wenn man $id und $grp ändern kann )
Vielen Dank im Vorraus,
mfg
web189
Seite 1 von 1
Verständnisfrage Zu Sessions
Anzeige
#2
geschrieben 06. Mai 2009 - 12:31
Die Daten der Session werden serverseitig gespeichert und können clientseitig nicht verändert werden.
Session Hijacking ist jedoch immer möglich, aber stellt im Allgemeinen keine große Gefahr dar, da es sehr aufwändig ist.
Du solltest nur darauf achten, dass die Sessions nicht zu lange gültig sind bzw. das deine Benutzer nirgendwo Adressen mit angehängter Session-ID veröffentlichen.
Viele Grüße,
Stefan
Session Hijacking ist jedoch immer möglich, aber stellt im Allgemeinen keine große Gefahr dar, da es sehr aufwändig ist.
Du solltest nur darauf achten, dass die Sessions nicht zu lange gültig sind bzw. das deine Benutzer nirgendwo Adressen mit angehängter Session-ID veröffentlichen.
Viele Grüße,
Stefan
#4
geschrieben 06. Mai 2009 - 12:57
ich würde trotzdem noch ein hash mitschicken.
D.h. der User loggt sich ein und in die DB wird ein zufälliger Wert geschrieben (Hash), dieser ist solange gültig wie der User angemeldet ist und wird auch jedesmal überprüft.
Sowie session.use_only_cookies=1 in die php.ini
Das sollte noch ein wenig mehr Sicherheit bringen.
Und schau dir das mal an:
http://www.thorix.de/2009/01/16/sicheres-l...und-javascript/
D.h. der User loggt sich ein und in die DB wird ein zufälliger Wert geschrieben (Hash), dieser ist solange gültig wie der User angemeldet ist und wird auch jedesmal überprüft.
Sowie session.use_only_cookies=1 in die php.ini
Das sollte noch ein wenig mehr Sicherheit bringen.
Und schau dir das mal an:
http://www.thorix.de/2009/01/16/sicheres-l...und-javascript/
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
you are running an OS
you use a Browser
I know so much about you...
#5
geschrieben 06. Mai 2009 - 17:04
Hallo,
alternativ zum Tutorial das tavoc gepostet hat, kannst Du dir auch mal Loginsysteme von Einfach bis Profi anschauen. Dort werden einige Dinge erklärt, die beim weiter oben erwähnten Tutorial außenvor gelassen wurden.
alternativ zum Tutorial das tavoc gepostet hat, kannst Du dir auch mal Loginsysteme von Einfach bis Profi anschauen. Dort werden einige Dinge erklärt, die beim weiter oben erwähnten Tutorial außenvor gelassen wurden.
#6
geschrieben 08. Mai 2009 - 08:09
Okay, danke für die vielen Tips. Die Links sehen vielversprechend aus, werde ich mir einmal zu gemüte führen.
mfg
web189
mfg
web189
- ← Php - Session Bei Jedem Aufruf überschreiben Oder Wert überprüfen
- Skript/Web-Programmierung
- Besucherdaten Auslesen Php →
Thema verteilen:
Seite 1 von 1