SESSION Sicher Scripten

O

Opi62

Mitglied
Hi @ all.

Ich bin gerade am Überlegen wie mann eine Session schnell und einfach sicher machen könnte.

Also bin ich auf die idee Gekommen das ich alle daten mit md5() in der Datenbank Ablege und sie z.b Beim logn verschlüselt als md5() in der SESSION Registriere.
So das alle daten Erst Kurtz vor der ausgabe von md5() wieder in den originalen Text String Convertieren lasse von md5().

Was meint ihr ist das sicher genug oder giebt es eine lösung die mehr zu sicherheit dieser session Beiträgt.

LG Opi62
 
Was ist den aus deiner Sicht an der $_SESSION Variable unsicher? Die Daten, die in der $_SESSION gehalten werden, werden eh auf dem Server gespeichert -sind also vom Benutzer weder ausles- noch änderbar ...
 
Meine angst ist das wenn der User sich nicht Ausloogt. Das es möglich ist die SESSION von einer anderen webseite aus zu Lesen.

Ich meine ich arbeite ja mit SWITCHES in meiner page um Zu verhindern das jemand den link zur richtigen datei auszulesen. also mit SWITCH und REQUIRE_ONCE.
Nur ich kann es halt auch nicht immer Verwenden. da z.b POST Variablen dann die datei nicht Erreichen.

Also Sprich ich versuche es so sicher wie möglich zu Programieren.

LG Opi62
 
Meine angst ist das wenn der User sich nicht Ausloogt. Das es möglich ist die SESSION von einer anderen webseite aus zu Lesen.
Zum Vergrößern anklicken....

Von einer anderen Seite aus? Andere Seiten können auf die Session deiner Seite nicht zugreifen? Wenn doch, dann zeig mir wie.

Was du meinst ist sicherlich das Session-Hijacking.
Und um das schwerer zu machen kannst du ein sogenannten Fingerprint in der Session speichern:
http://www.google.de/search?hl=de&q=session+fingerprint+site:tutorials.de
http://www.tutorials.de/forum/1662277-post6.html

Dazu kann ich dir das Buch "PHP Sicherheit" von Kunz / Esser empfehlen, wenn du dich für Sicherheit interessierst.
Dort werden Maillists empfohlen wie "BugTraq", "Full Disclosure" und "WebAppSec", die dich sicherlich auch Interessieren.
 
Zuletzt bearbeitet:
Vielen dank ich werde mir das heute nachmittag mal durchlesen.

Ich weiß ja nicht Wie ihr es seht aber mit liegt die sicherheit meiner user sher am herzen. Denn wie mann immer hört wird eigendlich alles mögliche gehackt.

Und ich sag mal so wbb Wurde ja auch gehackt weil es sichheits lücken gab bzw immer noch Giebt.
Und ich bin ein sehr großer fan von sicherheit. ich meine es giebt ja genug seiten im netz die sich mit hacken und etc beschäftigen. Nur muss es ja nicht sein das mann unbedingt sein Projeckt auch noch angreifbar macht. Ich weiß. komplett sicher Beckommt mann die irgendwas da es immer irgendwo eine Sicherheits lücke Giebt. nur ich finde einfach das wenn es schon Möglichkeiten giebt etwas sicher zu machen dann Sollte mann es auch machen.

Den sicherheit ist die halbe miete.

LG Opi62
 
Hi,

also ich sag mal so. Die sichersten Tresore der Welt, können mit genug Zeit und dem richtigen Werkzeug geknackt werden, bei Software ist das nicht anders.

Bei Sessions ist das Hijacking das gefärlichste. Alternative Schwachstelle währ das Temp-Verzeichniss von $_SESSION, aber wenn der Cracker da drauf zugreifen kann, hast du ganz andere Sorgen, als deine Sessions.

MfG ichnicht

P.s. Rechtschreibung ist auch nicht ganz unwichtig ;-]
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück