"Geheimcookies" - 2. Versuch
2 Doppelposting
0 0 0 0 
Der Martin
0 
Manuel B.
"Geheimcookies" - 2. Versuch
Ich hatte schon mal einen Thread dazu aufgemacht, aber der ist jetzt schon weit unten und zugemüllt mit Blödsinn über Bundestrojaner, Klodeckel usw.
Also nochmal: Trotz frisch gelöschter und deaktivierter Cookies erscheint in der Eingabemaske eines Internetforums der Username. An "autocomplete" ("AutoVervollständigen") kann es auch nicht liegen, da ebenfalls deaktiviert.
Ich habe nun herausgefunden, dass der Username nur erscheint, wenn ich direkt einen in den Favoriten gespeicherten Thread aufrufe, aber nicht, wenn ich die URL des Forums mit der Hand eintippe und dann dort hinklicke. Also ist wohl im Zeichensalat des URL im Fovoriteneintrag etwas enthalten, das die Zuordnung ermöglicht.
Das funktioniert also wohl so ähnlich wie hier in Slefhtml beschrieben (Formular mit 'method="get"'):
http://de.selfhtml.org/html/formulare/definieren.htm#bereich
Nur, dass der URL nicht beim Klicken des "Absenden"-Buttons eines Formulars generiert wird, sondern die Adresse des Threads bereits die Informationen enthält, die so beim Favorisieren mitgespeichert werden. Diese Technik war mir noch nicht bekannt, gibt es dafür ein Schlagwort?
-
Hi,
Ich hatte schon mal einen Thread dazu aufgemacht,
diesen Thread könntest Du dann zumindest verlinken.
aber der ist jetzt schon weit unten und zugemüllt mit Blödsinn über Bundestrojaner, Klodeckel usw.
Das Problem war bereits mit der ersten Antwort gelöst. Außerdem sieht "zugemüllt" deutlich anders aus.
Also nochmal:
Nein. Bleibe bitte in Deinem Thread.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Danke, dass Du für alle den Schrott verlinkt hast.
Ich bin leider sehr dumm, also erkläre mir bitte, wieso folgender Hinweis das Problem gelöst haben soll, ja?
"Die meisten Browser sind willens, dem User wiederkehrende Formulareingaben zu erleichtern, und merken sie sich entsprechend."
Du meinst damit etwas anders als autocomplete / AutoVervollständigen? Was denn?
-
Danke, dass Du für alle den Schrott verlinkt hast.
Ich bin leider sehr dumm, also erkläre mir bitte, wieso folgender Hinweis das Problem gelöst haben soll, ja?
"Die meisten Browser sind willens, dem User wiederkehrende Formulareingaben zu erleichtern, und merken sie sich entsprechend."
Du meinst damit etwas anders als autocomplete / AutoVervollständigen? Was denn?
Nicht aufregen, ich habe den Eindruck Cheatah ist hier eh der Möchtegernmoderator, irgendwie was nettes hab ich nicht gelesen, wenngleich Antworten sachlich korrekt sein mögen... Seis drum...
hast du mal eine Beispiel-URL? Eventuell werden wirklich Infos in die URL kodiert und im Hintergrund von einer Datenbank abgefragt, welche du dann z.B. per AJAX bekommst und es nur so aussieht als wärs immer noch im Autocomplete drin.
Wenn du Autocomplete ja gelöscht hast wie du sagst, sollte sowas nicht mehr da sein. um welchen Browser handelt es sich?
Gruß und schönes Wochenende,
Jens-
Danke für die sachliche Antwort.
hast du mal eine Beispiel-URL?
Der Favoriten-URL sieht etwa so aus:
http://www.../foren/forumXYZ/8236587/phorum_session_v5=6464789aec123ef04ad189353dc9cbac/read.html
Wenn du Autocomplete ja gelöscht hast wie du sagst, sollte sowas nicht mehr da sein. um welchen Browser handelt es sich?
Der Browser ist IE6. Autocomplete ist schon lange deaktiviert und gelöscht, aber ich kann meine Hand nicht dafür ins Feuer legen, dass es auch zum Zeitpunkt der Aufnahme des Threads in den Favoriten deaktiviert war.
-
Der Favoriten-URL sieht etwa so aus:
http://www.../foren/forumXYZ/8236587/phorum_session_v5=6464789aec123ef04ad189353dc9cbac/read.html
Na da haben wir es doch schon, da wird eine Session-ID an ein Script übergeben. Eine Session wird immer unterschiedlich lange auf dem Server gespeichert, dort sind diverse Informationen zum Betrieb des Forums hinterlegt und auch deine Benutzeranpassungen und Einstellungen gespeichert, also alles was der Forenbetreiber als sinnvoll empfindet für dich bereit zu halten, damit du es nicht bei jedem Aufruf nochmal einstellen/eingeben musst. Da du keine Cookies aktiviert hast (wo die Session-ID normalerweise hinterlegt wird), wird diese halt als Parameter in der URL übergeben.
Hoffe damit ist deine Frage geklärt, du hast also keine Software bei dir auf dem Rechner, die Sachen kommen aus der Session vom Server, daher siehst du auch keine Daten wenn du das Forum normal, ohne den Parameter, aufrufst.
Schönes Wochenende,
Jens-
Danke! Ich glaube, jetzt habe ich genug Hinweise, um das bei Bedarf vertieft recherchieren zu können.
-
-
-
-
Hallo Thomas,
Danke, dass Du für alle den Schrott verlinkt hast.
Dein Zynismus ist unangebracht, Stichwort autocomplete ist die richtige Antwort.
Alle Browser koennen sich unabhaengig von Cookies Formulareingaben merken, sofern man dieses Feature nicht abschaltet. Formulare in Webseiten, die du irgendwann vorher ausgefuellt hast, werden dann vom Browser wieder ausgefuellt.
Gruß,
Dieter
-
Mit Schrott meinte ich die sich witzig vorkommenden Ergüsse über Bundestrojaner, Klodeckel usw.
-
Hallo!
Mit Schrott meinte ich die sich witzig vorkommenden Ergüsse über Bundestrojaner, Klodeckel usw.
Es passiert öfters, dass ein Thread thematisch abgleitet. Das hat weder etwas mit dir, noch mit deinem Thema zu tun. Warum verlinkst du eigentlich das Forum nicht, in dem dir das passiert? Oder hast du das irgendwo getan?
ciao, ww
--
sh:( fo:| ch:~ rl:( br:> n4:~ ie:% mo:) va:) de:] zu:) fl:( ss:| ls:~ js:)-
Warum verlinkst du eigentlich das Forum nicht, in dem dir das passiert?
Es ging um medizinische Fragen, muss hier nicht jeder wissen.
-
Hallo!
Warum verlinkst du eigentlich das Forum nicht, in dem dir das passiert?
Es ging um medizinische Fragen, muss hier nicht jeder wissen.
Achso, ok. Das ist verständlich.
ciao, ww
--
sh:( fo:| ch:~ rl:( br:> n4:~ ie:% mo:) va:) de:] zu:) fl:( ss:| ls:~ js:)
-
-
-
-
Hallo!
Zitat von https://forum.selfhtml.org/?t=147495&m=956724:
Also nochmal: Trotz frisch gelöschter und deaktivierter Cookies erscheint in der Eingabemaske eines Internetforums der Username. An "autocomplete" ("AutoVervollständigen") kann es auch nicht liegen, da ebenfalls deaktiviert.
Dein Zynismus ist unangebracht, Stichwort autocomplete ist die richtige Antwort.
Er hat es schon abgeschaltet. Und die Daten werden trotzdem automatisch eingegeben.
ciao, ww
--
sh:( fo:| ch:~ rl:( br:> n4:~ ie:% mo:) va:) de:] zu:) fl:( ss:| ls:~ js:)
-
-
-
-
Also nochmal: Trotz frisch gelöschter und deaktivierter Cookies erscheint in der Eingabemaske eines Internetforums der Username. An "autocomplete" ("AutoVervollständigen") kann es auch nicht liegen, da ebenfalls deaktiviert.
Nur, dass der URL nicht beim Klicken des "Absenden"-Buttons eines Formulars generiert wird, sondern die Adresse des Threads bereits die Informationen enthält, die so beim Favorisieren mitgespeichert werden. Diese Technik war mir noch nicht bekannt, gibt es dafür ein Schlagwort?
Die Kennung (vulgo: Session-ID) als Parameter in die URL zu stecken anstatt in ein Cookie (wo sie hingehört) ist ein altbekanntes wie weit verbreitetes Problem; einerseits, weil es den Datenbestand von Suchmaschinen unnötig erhöht (jeder Robot-Besuch fördert "neue" Seiten zu Tage, weil sich jedesmal die Kennung in der URL ändert), andererseits, weil es eine Sicherheitslücke darstellt. Da eine solche URL einen Benutzer A identifiziert, erlaubt sie es grundsätzlich jedem beliebigen Benutzer B, sich nur durch Erlangen dieser URL als Benutzer A auszugeben (für das Erlangen reicht, dass A B die Webseite empfiehlt und "seine" URL gleich mitschickt). Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.
-
Da eine solche URL einen Benutzer A identifiziert, erlaubt sie es grundsätzlich jedem beliebigen Benutzer B, sich nur durch Erlangen dieser URL als Benutzer A auszugeben (für das Erlangen reicht, dass A B die Webseite empfiehlt und "seine" URL gleich mitschickt).
So eine "Sicherheitslücke" existiert in der Tat. Aber ist es auch eine Sicherheitslücke?
Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.
Cookies sind auch nicht sicher.
Aber das scheint uns eine anno domini-Diskussion zu sein.
-
Da eine solche URL einen Benutzer A identifiziert, erlaubt sie es grundsätzlich jedem beliebigen Benutzer B, sich nur durch Erlangen dieser URL als Benutzer A auszugeben (für das Erlangen reicht, dass A B die Webseite empfiehlt und "seine" URL gleich mitschickt). Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.
Cookies sind auch nicht sicher.
Ein Hinweis auf die Unsicherheit von Interkontinentalflügen wäre in diesem Zusammenhang nicht unpassender gewesen.
-
Da eine solche URL einen Benutzer A identifiziert, erlaubt sie es grundsätzlich jedem beliebigen Benutzer B, sich nur durch Erlangen dieser URL als Benutzer A auszugeben (für das Erlangen reicht, dass A B die Webseite empfiehlt und "seine" URL gleich mitschickt). Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.
Cookies sind auch nicht sicher.
Ein Hinweis auf die Unsicherheit von Interkontinentalflügen wäre in diesem Zusammenhang nicht unpassender gewesen.
Wenn Du die eigentliche Sacharbeit verlassen wolltest, so ist Dir das auf das allerbeste gelungen. Vermutlich hältst Du Cookies für sicherer, weil der Cookie-Inhalt (hier die SessionID) nicht in der URL auftaucht.
-
Yerf!
»»Vermutlich hältst Du Cookies für sicherer, weil der Cookie-Inhalt (hier die SessionID) nicht in der URL auftaucht.
Und weshalb sollte dies nicht so sein? URLs werden per Referrer weitergegeben, tauchen in Log-Files auf, können per Copy&Paste irgendwo eingefügt werden, können von jemanden der dir über die Schulter schaut gelesen werden, usw...
Das Cookies keine 100% Sicherheit bieten ist ein anderes Thema, aber Daten in der URL sind einfach weitaus leichter abzugreifen.
Gruß,
Harlequin
-
»»Vermutlich hältst Du Cookies für sicherer, weil der Cookie-Inhalt (hier die SessionID) nicht in der URL auftaucht.
Und weshalb sollte dies nicht so sein? URLs werden per Referrer weitergegeben, tauchen in Log-Files auf, können per Copy&Paste irgendwo eingefügt werden, können von jemanden der dir über die Schulter schaut gelesen werden, usw...
Das Cookies keine 100% Sicherheit bieten ist ein anderes Thema, aber Daten in der URL sind einfach weitaus leichter abzugreifen.
Bevor hier diese tendenziell unselige Diskussion "Was ist sicherer SessionID per Cookie oder per URL übertragen?" fortgesetzt wird, halten wir einfach mal fest, dass das bspw. folgender Fragestellung nahekommt "Ist der Islam tolerant oder intolerant?", denn einmal ist Sicherheit undefiniert, das andere mal Toleranz.
Also, wir merken uns, wollen wir Sicherheit implementieren kommen wir entweder ganz bewusst mit Halblösungen (SessionID per Cookie oder URL) oder nutzen den SSL bzw. HTTPS. (Wie Sicherheit per SSL definiert und implementiert wird entnehme der geneigte und freundliche Leser den üblichen Quellen, also bspw. http://wp.netscape.com/eng/ssl3/ oder auch http://www.ssl-forum.com/ (für nerds und so ;))
-
Yerf!
Also, wir merken uns, wollen wir Sicherheit implementieren kommen wir entweder ganz bewusst mit Halblösungen (SessionID per Cookie oder URL) oder nutzen den SSL bzw. HTTPS.
SSL schön und gut, aber für einfach Dinge wie ein Forum ein ganz schöner Overkill...
Man sollte schon etwas die Verhältnismäßigkeit sehen, manchmal reicht eine Session per Cookie auch aus.
Gruß,
Harlequin
-
-
-
-
-
-
Mir war zwar etwas mulmig, aber an so weitreichende Folgen habe ich gar nicht gedacht. Danke für die Information.
-
Hallo,
Die Kennung (vulgo: Session-ID) als Parameter in die URL zu stecken anstatt in ein Cookie (wo sie hingehört) ist ein altbekanntes wie weit verbreitetes Problem; einerseits, weil es den Datenbestand von Suchmaschinen unnötig erhöht ...
das Problem sind hier meist die Betreiber der entsprechenden Seiten, die jedem Besucher -ob nötig oder nicht- gleich bei seinem ersten Seitenaufruf eine Session auf den Bauch patschen. Das hat mich auch schon bei vielen Seiten gestört: Ich habe noch keine Informationen eingegeben, die zu merken sich lohnen würden, trotzdem kriege ich sofort "auf Verdacht" eine Session verpasst. Es wäre immer noch früh genug, wenn ich das erste Formular ausfülle und absende.
Beispiel: Ich besuche einen Webshop und sehe mir interessehalber ein paar Artikel an. Eine Session aufzumachen, ist frühestens dann sinnvoll, wenn ich anfange, Artikel in meinen Warenkorb zu legen oder wenn ich mir die Shop-Ansicht individuell einstelle.... andererseits, weil es eine Sicherheitslücke darstellt. Da eine solche URL einen Benutzer A identifiziert, erlaubt sie es grundsätzlich jedem beliebigen Benutzer B, sich nur durch Erlangen dieser URL als Benutzer A auszugeben
Ja, der Aspekt ist richtig, wird aber IMHO meistens maßlos übertrieben. Denn sehr oft sind die Informationen, die in der Session gespeichert sind (überhaupt gespeichert *sein können*) weder personenbezogen, noch irgendwie sicherheitsrelevant.
Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.
Der in vielen Fällen keine größere Bedeutung als der sprichwörtliche Reissack in China hätte. Aber das sollte man als Betreiber einer Seite im Einzelfall abwägen - es muss eben nicht immer gleich der Rundumschlag mit SSL, HTTP-AUTH, Sessions etc.pp. sein.
So long,
Martin--
Der Alptraum jedes Computers:
"Mir war, als hätte ich gerade eine 2 gesehen."-
Die Kennung (vulgo: Session-ID) als Parameter in die URL zu stecken anstatt in ein Cookie (wo sie hingehört) ist ein altbekanntes wie weit verbreitetes Problem; einerseits, weil es den Datenbestand von Suchmaschinen unnötig erhöht ...
das Problem sind hier meist die Betreiber der entsprechenden Seiten, die jedem Besucher -ob nötig oder nicht- gleich bei seinem ersten Seitenaufruf eine Session auf den Bauch patschen. Das hat mich auch schon bei vielen Seiten gestört: Ich habe noch keine Informationen eingegeben, die zu merken sich lohnen würden, trotzdem kriege ich sofort "auf Verdacht" eine Session verpasst. Es wäre immer noch früh genug, wenn ich das erste Formular ausfülle und absende.
Es ist einfacher und darum besser dem Besucher sofort eine eindeutige Kennung zu geben.
Beispiel: Ich besuche einen Webshop und sehe mir interessehalber ein paar Artikel an. Eine Session aufzumachen, ist frühestens dann sinnvoll, wenn ich anfange, Artikel in meinen Warenkorb zu legen oder wenn ich mir die Shop-Ansicht individuell einstelle.
Das wäre wiederum und wegen des vorherigen Kommentars vermutlich nicht ganz überraschend komplizierter und schlechter, auch wenn es auf den ersten Blick folgerichtig erscheint.
-
Wird kein weiterer Sicherheitsmechanismus eingesetzt, ist Identitätsdiebstahl Tür und Tor geöffnet.
Der in vielen Fällen keine größere Bedeutung als der sprichwörtliche Reissack in China hätte.
Mag sein. Mögest Du nie Opfer der wenigen Fälle werden. An meiner Meinung zu derartiger Schlamperei ändert das nichts.
-
-
Ich grüsse den Cosmos,
Die Kennung (vulgo: Session-ID) als Parameter in die URL zu stecken anstatt in ein Cookie (wo sie hingehört) ist ein altbekanntes wie weit verbreitetes Problem;
Wieso gehört die Session-ID in etwas, was ich jederzeit abschalten kann?
Mal abgsehen davon, das sie im Cookie in keinster Weise sicherer ist.Solange jede Session nur eine begrenzte Lebensdauer hat, ist beides gleich sicher.
Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
ie:{ br:> fl:| va:| ls:& fo:{ rl:( n4:{ de:] ss:) ch:? js:| mo:) sh:( zu:)
-