• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

Cookie-PHP Folgethread - Angemeldet bleiben-Cookie

Ich halte ja nichts davon, dass man die IP des Nutzers zur Validierung des Session benutzt. Die IP kann sich nämlich schnell mal ändern, wenn man z.B. den Netzwerkzugang ändert (z.B. von WLAN auf UMTS o.Ä.). Auch macht man es damit Tornutzern unnötig schwer. Und wirklich sicher ist es auch nicht, da mann eine fremde IP ja auch vortäuschen kann (IP spoofing). Zu guter Letzt hilft es gar nichts, wenn der Angreifer hinter dem gleichen NAT sitzt (z.B. im Café), da am Server dann sowieso die gleiche IP ankommt.

Wenn das Session-Cookie also verloren geht, kann der "Dieb" die Session auch benutzen.
 
Ich finde die seite gut, aber es löst halt noch nicht das Problem.
Und sry dass ich das skript noch nicht gefunden habe muss es erst noch raussuchen
 
Wieso löst es nicht das Problem? Da gibt es doch die Fortgeschrittenen-Version, bei der ein Remember me-Cookie gesetzt wird und dieses in die Datenbank eingetragen wird.
 
kkapsner schrieb:
Ich halte ja nichts davon, dass man die IP des Nutzers zur Validierung des Session benutzt.
Zum Vergrößern anklicken....
Als alleiniges Mittel sicher nicht. Aber wenn man mehrere kombiniert (z.B. Cookie, IP und Formularfeld) gewinnt es an Sicherheit und erschwert die Nachahmung. Webbanking Seiten prüfen auch die IP. Das bereitet regelmäßig Probleme mit Providern, die gern mal mittendrin die IP wechseln, weil man darauf als Ursache schwer drauf kommt. Problem ist halt, dass ein Angreifer nur solange ausprobieren kann wie die Session läuft. Das heißt, je länger eine Session läuft, desto größer das Risiko, egal wie man es macht. Daher sollte man m.E. für sensible Seiten die Session so kurz wie möglich halten. Sensibel max 60 Minuten, hochsensibel (z.B. Banking) max. 15 Minuten.
 
Zuletzt bearbeitet:
dass das geht hab ich nie bezweifelt ich hab ja auch die remember funktion fertig aber halt noch ziemlich unsafe
 
mikdoe schrieb:
Als alleiniges Mittel sicher nicht.
Zum Vergrößern anklicken....
Als alleiniges Mittel ist es komplett unbrauchbar, da oft viele Personen über die gleiche öffentliche IP arbeiten...
mikdoe schrieb:
Aber wenn man mehrere kombiniert (z.B. Cookie, IP und Formularfeld) gewinnt es an Sicherheit und erschwert die Nachahmung.
Zum Vergrößern anklicken....
Wenn der Angreifer so weit ist, dass er deinen SSL-Tunnel (den du auf alle Fälle haben musst, wenn du sensible Daten handhabst) aufbrechen kann um an dein Session-Cookie heranzukommen, dann kann er auch deine IP ohne Probleme vortäuschen.

PS: Mir ist nicht klar, was du mit "Formularfeld" meinst?
 
kkapsner schrieb:
PS: Mir ist nicht klar, was du mit "Formularfeld" meinst?
Zum Vergrößern anklicken....
Damit meine ich, dass bei jedem Request gegen den Server ein Formularfeld mit einer identifizierung mitgegeben wird. Sei es eine personenbezogene, sessionbezogene oder sogar formularbezogene. Als alleiniges Mittel natürlich auch unbrauchbar aber es erhöht zusammen mit anderen Maßnahmen die Komplexizität (wenn auch nur leicht), einen unberechtigten Request auszuführen. Aber je nach dem wie man den Inhalt gestaltet kann man es schon erschweren.
 
Stimmt, in der Art macht das Sinn. Also als ZUSÄTZLICHE Sicherheitsmaßnahme...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben