JLI Spieleprogrammierung Foren-Übersicht JLI Spieleprogrammierung

 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen 
 medals.php?sid=9020697b31788b42f793ac4dc46a2b55Medaillen   RegistrierenRegistrieren   ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

php- Sicherheit

 
Neues Thema eröffnen   Neue Antwort erstellen    JLI Spieleprogrammierung Foren-Übersicht -> Entwicklung
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
abc_d
JLI Master Trainee


Alter: 34
Anmeldedatum: 27.01.2003
Beiträge: 615

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 14:36    Titel: php- Sicherheit Antworten mit Zitat

Hi,

im moment prüfe ich jedesmal wenn jemand eingeloggt ist, ob das pwd in der Session mit dem Passwort in der DB übereinstimmt, um manipulationen zu vermeiden. Dabei geht natürlich wertvolle Zeit verloren. Kann man überhaupt die Variable irgendwie manipulieren, wenn ich eine Variable per $_SESSION[ID] abfrage?

mfg. BLD
_________________
http://mitglied.lycos.de/sarti/linuxisevil.gif Linux is evil - get the fact.

Never touch a running System - der Systemling
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
me
Junior JLI'ler



Anmeldedatum: 10.09.2003
Beiträge: 60

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 15:06    Titel: Antworten mit Zitat

Ich würd sagen, die Sicherheitslücke liegt nicht an deinem Speicherort, sondern an der Übermittlung deiner Session. Dies findet ja entweder per Url, get, post oder per Cookie statt. Also nem Cookie würd ich keine Passwörter anvertrauen (speziell keine DB-Passwörter).
Ich könnt mir schon vorstellen, das findige Hacker die Session sniffen, und somit dann auch Zugriff bekommen. Auslesen können sie aber da nix, solange sie kein eigenes Script auf dem Server haben.

JUST MY *HUMBLE* OPINION. NO GUARANTEE!!!
_________________
If something is stupid and it works, it ain't stupid! Very Happy
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
abc_d
JLI Master Trainee


Alter: 34
Anmeldedatum: 27.01.2003
Beiträge: 615

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 15:23    Titel: Antworten mit Zitat

Mit einem Passwort das so verschlüsselt wurde kann eine Cracker nichts mehr anfangen:

$PWD=crypt($PWD, CRYPT_STD_MD5);
$PWD=crypt($PWD, CRYPT_STD_DES);
, darum könnte ich es auch in den Cookies speichern.

Es kann also niemand mir irgendwie die Variable verändern?
_________________
http://mitglied.lycos.de/sarti/linuxisevil.gif Linux is evil - get the fact.

Never touch a running System - der Systemling
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Mr.X
Junior JLI'ler



Anmeldedatum: 15.04.2003
Beiträge: 88

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 16:18    Titel: Antworten mit Zitat

BlackLordofDragons hat Folgendes geschrieben:
...Kann man überhaupt die Variable irgendwie manipulieren, wenn ich eine Variable per $_SESSION[ID] abfrage?...

Sessions (inkl. ihrer Variablen) werden auf dem Server gespeichert! Das einzigste, was auf dem Client per Cookie gespeichert wird ist die Session-ID. Hat der Client Cookies deaktiviert, dann wird die ID an jede URL im Quelltext angehängt (per .SID). Also ist das einzigste, was ein Client manipulieren könnte diese ID, was ihm aber eben nichts bringen würde.
Somit brauchst Du nicht jedesmal eine Überprüfung mit der Datenbank durchführen, wenn Du es einmal in der Session vermerkst.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
abc_d
JLI Master Trainee


Alter: 34
Anmeldedatum: 27.01.2003
Beiträge: 615

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 16:20    Titel: Antworten mit Zitat

Naja, würde ich $_SESSION[ID] nicht benutzen könnte er mit ?id=1423 die Id fälschen.
_________________
http://mitglied.lycos.de/sarti/linuxisevil.gif Linux is evil - get the fact.

Never touch a running System - der Systemling
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Mr.X
Junior JLI'ler



Anmeldedatum: 15.04.2003
Beiträge: 88

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 16:23    Titel: Antworten mit Zitat

BlackLordOfDragons hat Folgendes geschrieben:
Naja, würde ich $_SESSION[ID] nicht benutzen könnte er mit ?id=1423 die Id fälschen.

Ja und?
Was soll ihm das bringen? Unter einer anderen Session-ID wird er ja keinen Zugriff auf die gewünschten Session-Informationen bekommen und somit nicht mit dieser Session arbeiten können.

Oder hab ich dich jetzt falsch verstanden? Wie identifizierst Du einen User, per Session, oder per ID an der URL?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
abc_d
JLI Master Trainee


Alter: 34
Anmeldedatum: 27.01.2003
Beiträge: 615

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 16:28    Titel: Antworten mit Zitat

Wenn er das macht ist er jetzt ja der User, wenn ich das nicht überprüfe, und so könnte er sich Administratorrechte holen, wenn ich das nicht per sessionregister($ID) erstelle und dann per $ID wieder auslese. Ich habe eigentlich gefragt ob man auch wenn ich $_SESSION[ID] benutzte das irgendwie verändern kann.
_________________
http://mitglied.lycos.de/sarti/linuxisevil.gif Linux is evil - get the fact.

Never touch a running System - der Systemling
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Mr.X
Junior JLI'ler



Anmeldedatum: 15.04.2003
Beiträge: 88

Medaillen: Keine

BeitragVerfasst am: 21.01.2004, 16:59    Titel: Antworten mit Zitat

Verwechselst Du jetzt die Session-ID mit einer von Dir vergebenen ID per sessionregister($ID) ??? Wink

Eine Variable, die Du in eine Session ablegst (per sessionregister) kann kein Client ändern! Grund: siehe mein erster Post ganz oben.

BlackLordofDragons hat Folgendes geschrieben:
...Ich habe eigentlich gefragt ob man auch wenn ich $_SESSION[ID] benutzte das irgendwie verändern kann.
...

NEIN, der Client kann die Variable ID nicht manipulieren!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    JLI Spieleprogrammierung Foren-Übersicht -> Entwicklung Alle Zeiten sind GMT
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de

Impressum