# Sicherheit durch URL?



## Kalma (21. November 2006)

Hallo,

ich spiele seit einiger Zeit sigma15, ein vielleicht auch hier bekanntes online game. Da ist mir aufgefallen, das immer, wenn man eingeloggt ist, eine solche URL in der URL-Leiste auftaucht:


			
				sigma15.de hat gesagt.:
			
		

> http://e922824d58e4a73e498460e4bcbb11c5.sigma15.de/



Wie kriegt man das hin? Da dieser Code immer neu Generiert wird, also, dieser verschlüsselte, kann man ja nicht einfach so in den User-Berreich.

MfG
David


----------



## Dennis Wronka (21. November 2006)

Das sieht mir stark nach einer SessionID aus.
Hier der Hostnamenteil den Du gepostet hast und darunter mal eine SessionID von meinem Webserver.
e922824d58e4a73e498460e4bcbb11c5
5d62a3da5a565422bea409fa2f3dca23

Der Hostname loest immer nach 213.239.219.244 auf.

```
bash-3.1# host e922824d58e4a73e498460e4bcbb11c5.sigma15.de
e922824d58e4a73e498460e4bcbb11c5.sigma15.de has address 213.239.219.244
```


```
bash-3.1# host sigma15.de
sigma15.de has address 213.239.219.244
sigma15.de mail is handled by 10 mail.sigma15.de.
```

Die SessionID wird hier also offensichtlich als Hostname uebergeben. Der Webserver nimmt Anfragen fuer auf allen Hostnamen in der Domain sigma15.de an und das Script nutzt dann einfach den Hostnamen als SessionID.
Eigentlich keine schlechte Idee, mit einem netten Script dahinter sollte dies einen netten Batzen Sicherheit vor Session-Klau geben.


----------



## Kalma (21. November 2006)

hey,

danke für die schnelle antwort 

kann ich das denn auch auf meinem Server realisieren?


----------



## Dennis Wronka (21. November 2006)

Theoretisch ja, praktisch weiss ich das nicht genau.
Je nachdem wie der Webserver konfiguriert ist koennte es sein, dass Du dort einen VHost einrichten musst der alles fuer *.deinedomain.de entgegennimmt. In der Standardkonfiguration sollte es aber bereits vom Server her gehen.
Die andere Frage ist der DNS, denn der Client fragt ja irgendeinen DNS-Server, und alle Hosts muessen die gleiche IP ausspucken. Was dafuer noetig ist weiss ich nicht genau, da ich mich mit solchen Spielereien noch nicht befasst hab, aber Dein Hoster kann Dir da sicher ein paar Informationen zu liefern.


----------



## Gumbo (21. November 2006)

Die Frage ist wohl, ob das überhaupt notwendig ist. Oder sieht das einfach so „cool“ aus, dass es übernommen werden muss?


----------



## Kalma (21. November 2006)

nein!! es ist nicht cool, es dient zur sicherheit!


----------



## Gumbo (21. November 2006)

Und was soll daran die Sicherheit erhöhen? Die Sitzungs-ID – gehen wir mal davon aus, dass das die Sitzungs-ID ist – ist doch immer noch offensichtlich in der Adresse enthalten.


----------



## Kalma (21. November 2006)

Ja,
aber es ist doch immer eine andere


----------



## Gumbo (21. November 2006)

Und aber wieso sollte dieser variable Teil mehr Sicherheit bringen, wenn er doch beliebig austauschbar ist? Eine Website ist doch nicht dadurch sicherer, wenn die Sitzungs-ID direkt im URL steht. Nur die genauere Validierung der Sitzungs-ID und eine allgemein sicherere Sitzungsverwaltung kann eine Website sicherer machen.


----------



## Dennis Wronka (21. November 2006)

Ich persoenlich finde, dass es eine interessante Alternative zur Uebergabe der SessionID als URL-Anhang ist, wenn man halt auf Session-Cookies verzichten moechte. Ohne sinnvolle Ueberpruefung der uebergebenen SessionID, ob nun als Parameter, Hostname oder auch Cookie, macht alles wenig Sinn.
Obwohl ich jetzt, bei naeherer Ueberlegung auch sagen muss, dass ich mit meiner Aussage von wegen "einem Batzen Sicherheit" doch wohl ein wenig vorschnell war, da dies ja im Grunde halt "nur eine weitere Technik" ist die SessionID zu uebergeben, wenn jedoch eine wirklich interessante.
Mit einem zusaetzlichen Modul im Webserver koennte man sogar die Ueberpruefung der Session komplett im Webserver abwickeln sodass PHP damit nicht "belastet" werden muss. Das koennte einen Performancegewinn bringen. Jedoch duerfte dies genauso auch mit SessionIDs in Cookies oder als Parameter machbar sein.
Ein Nachteil der mir jetzt dabei einfaellt ist, dass diese Addressen wohl nicht (oder nur schlecht) zu bookmarken sein duerften.


----------



## Gumbo (21. November 2006)

Dass die Sitzungs-ID so fix in der Adresse integriert ist, könnte sogar eher die Gefahr für Angriffe oder Missbrauchsversuche erhöhen. Denn je transparenter die Technik eines Systems, desto einfacher lassen sich Sicherheitslöcher finden. Am besten sollte nach außen gar nicht ersichtlich sein, was intern passiert.


----------



## Dennis Wronka (21. November 2006)

Gumbo hat gesagt.:


> Dass die Sitzungs-ID so fix in der Adresse integriert ist, könnte sogar eher die Gefahr für Angriffe oder Missbrauchsversuche erhöhen. Denn je transparenter die Technik eines Systems, desto einfacher lassen sich Sicherheitslöcher finden. Am besten sollte nach außen gar nicht ersichtlich sein, was intern passiert.


Das ist eben der Vorteil von Session-Cookies, die sind erstmal nicht so offensichtlich. Nur wenn man dann in die Cookie-Liste guckt stellt man fest, dass da ja die ganze Zeit was uebergeben wird.
Wie gesagt, keine Variante ist von sich aus wirklich sicher, dementsprechend muss da halt noch ein Script hinterstehen was da fuer hinreichend Sicherheit sorgt.


----------

