CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede farsinsen Nybegynder
21. juni 2003 - 20:04 Der er 15 kommentarer

Hvordan undgår jeg et sikkerhedshul ved brug af PHPSESSID ?

Hej...

Jeg har hele dagen brudt min hjerne med det samme problem, et fiktivt eksempel vil vist beskrive det bedst.

En bruger, hvis browser ikke understøtter cookies, opretter en profil på www.superbutik.dk. Brugeren udfylder ved oprettelse en masse oplysninger så som adresse, navn, email, telefon osv.

Brugeren finder er produkt han vil vise en kammerat, kammeraten får linket, åbner det i browseren og opdager at han faktisk er logget ind.

Hvordan undgår jeg, denne ikke alene pinlige situation, men også kæmpe sikkerhedshul i mit login script?

Jeg har overvejet at bruge et ip check i selve sessionen, men her melder problemet med kollegier, hjemmenetværk osv. sig jo med det samme.

Kan man på nogen måde undgå at andre end netop den computer hvorpå sessionen første gang er åbnet, kan tilgå de forskellige variabler der er gemt ?!

Håber at en eller anden har den geniale løsning...

Jeg har forresten testet eksperten i dag, min kammerat var logget ind som mig da jeg sendte ham en url med PHPSESSID i enden ;/

mvh

Peter Farsinsen
Avatar billede erikjacobsen Ekspert
21. juni 2003 - 20:13 #1
Der er ikke meget andet at gøre end at lave et IP-check, checke browser-
identifikation, opsætning af sprog, og hvad den individuelle browser nu
end sender tilbage (check phpinfo() )  -  og det er jo ikke 100% sikkert.

Så kan du bede brugeren om at slå cookies til.

Der er også et problem på eksperten.dk: Hvis jeg laver et link
til egen server: www.detteerikkeetlink.com, og en person med
sådan et sessionid i URL-en klikker på linket, så står det i min
serverlog, og jeg kan logge ind som vedkommende. Men dét er der
til gengæld en løsning på - eksperten.dk er nok ligeglade med det...
Avatar billede erikjacobsen Ekspert
21. juni 2003 - 20:16 #2
PS: IP-checket vil måske gå galt af en helt anden årsag: nemlig
steder hvor man har flere forbindelser og der bliver valgt en
tilfældig fra gang til gang. Det ses en sjælden gang fra enkelte
udenlandske ISP-er.
Avatar billede Slettet bruger
21. juni 2003 - 20:21 #3
Der findes ingen vise sten til at lukke det hul. Man kan kun prøve at lukke det så meget til som muligt.

Det er det samme med nøglehuller - to identiske nøgler åbner den samme dør. Selvom der kun skulle være en nøgle. Det eneste sikre du har på en client er jo hans ip (hvis vedkommende ikke bruger cookies og det er ikke engang sikkert).

Opfattelsen skal vel være at folk der ikke har deres egen (sikre) IP tager en sikkerhedsrisiko når de logger ind på en hjemmeside.

Man kan så informere dem om dette... eller undlade!?
Avatar billede farsinsen Nybegynder
21. juni 2003 - 20:35 #4
Hmmm, altså den der med ip'en havde jeg jo sån' set selv regnet ud, så jeg lader lige spørgsmålet få lidt luft. Måske nogen finder på noget genialt.

Løsningen med IP'en er jo sådan set nogenlunde, forudsat at url'en ik' bliver videresendt på et kæmpe lan.

Jeg kom selv til at tænke på at man sku' bruge wan ip og lan ip. Hvis man havde de to ville man kunne tjekke det 100%, men kan lan ip'en overhovedet findes og i så fald uden brug af javascript.
Avatar billede Slettet bruger
21. juni 2003 - 20:37 #5
Mht. til det problem, du beskriver. Så kan du vel bare lade være med at GET'e session ID'et, men POST'e det i stedet. Så det altså ikke overføres i URL'en.

Du skal slå enable-trans-id (eller hvad det hedder) fra. Og så bare have et hidden input på alle dine sider (i en form der POST'er til serveren) med session id'et.
Avatar billede Slettet bruger
21. juni 2003 - 20:42 #6
erikjacobsen: Eksperten checker IP.
Avatar billede Slettet bruger
21. juni 2003 - 20:43 #7
mercur>>Det er en fin tanke. Efter min overbevisning er det dog helt ude i hampen. Hvad så vis folk har slået javascript fra? (der er nok en god chance hvis de allerede har slået cookies fra)
Avatar billede farsinsen Nybegynder
21. juni 2003 - 20:45 #8
mercur8 ->

Du mener altså at jeg skal poste alle mine links !? Tror jeg næppe...

Hvad angår din kommentar til erikjacobsen så beskriver det jo netop mit problem skrigende. Min kammerat og jeg sidder på samme lan, derfor er ip checket kun delvist noget værd...
Avatar billede Slettet bruger
21. juni 2003 - 20:50 #9
Det var nu også bare en idé. Jeg tog ikke penge for den.
Avatar billede erikjacobsen Ekspert
21. juni 2003 - 21:25 #10
"Eksperten checker IP." ... så er det noget de er begyndt på for ret nyligt
Avatar billede Slettet bruger
21. juni 2003 - 21:33 #11
Ja.
Avatar billede bearhugx Nybegynder
22. juni 2003 - 00:23 #12
mecur8 ... hvornår er de begyndt på det ... Og bruger de det så også til at tjecke om en session bliver tilgået fra to forskellige ip'er (altså indenfor samme session) --- Det er ikke mange dage siden at jeg ellers kunne påvise at sikkerheden var langt fra "i top" her på eksperten.dk
Avatar billede bearhugx Nybegynder
22. juni 2003 - 00:25 #13
Jeg tror at det handler om at finde en eller anden metode, som ikke tilføjer PHPSESSID til en URL... Det kunne Eksperten i hvert fald også lære noget af :-)
Avatar billede bearhugx Nybegynder
22. juni 2003 - 00:34 #14
farsinsen >> er det en option simpelthen at udelukke alle, som ikke kan/vil håndtere cookies ??

/Søren
PS : fandt en artikel, som måske var noget værd -->
  http://martin.f2o.org/php/session
Avatar billede Slettet bruger
22. juni 2003 - 02:05 #15
bearhugx: Ja det er det, de bruger det til.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Hent array key Af nemlig i PHP 3 17/05/202415:22 17/05/202416:30
iCal-feed og import til google kalender driller Af nemlig i PHP 11 09/05/202417:49 10/05/202421:28
Adgang til vandaflæsningsdata Af nemlig i PHP 4 22/04/202422:04 30/04/202421:08
Vælg post rækkefølge Af Mojo_dk i PHP 3 06/04/202418:40 07/04/202412:20
Hjælp til PHP Af Friis77 i PHP 5 11/02/202419:58 12/02/202407:55
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 12:26 4 GB Ram er blevet væk Af Marianne Tidemann i PC
I går 12:24 strømforsyning Af Shamanji i Andet software
24/0720:17 vlc viser kegle-icon Af casablanca i Andet software
24/0714:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
24/0711:14 Bærbar til Sims 3? Af idamarie i PC
White papers
Flere white papers »


Premium
Teaser billede
Tidligere Tradeshift-CEO Christian Lanng skyder tilbage efter sexslave-anklager: Deler dagbøger og private beskeder
Læs mere »
”Det største it-nedbrud i historien” lammede store dele af verden: CrowdStrike giver nu kunder en kop kaffe som undskyldning
Top-CIO Rasmus Lundgaard Pedersen balancerer hele tiden mellem to poler
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Sådan høster du forretningsfordelene ved Internet of Things
Læs mere »
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
MDR: Transparent sikkerhed og overvågning i realtid
Samlet platform sikrer sammenhæng, kontrol og sikkerhed i hybrid cloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »