hallo,

ich stand mal vor der gleichen frage und habe es, richtig oder falsch?, wie folgt vorerst gelöst

Die ganze Seite soll mit SSL-Verschlüsselung laufen.
Will der Benutzer sich später anmelden (mit Login-Formular), werden die Eingabedaten in md5 verschlüsselt ...

md5 erstellt nur checksummen...somit kann jeder md5 wieder in deine ursprünglichen daten wandeln, probier mal lieber crypt(); denn damit ist auch aus der datenbank das passwort (z.b. bei blowfish verschlüsselung) nicht auslesbar und "sicherer" abgelegt

sessions nutze ich auch nicht. ich nutze diverse angaben (Browserid, ip,...) die mir übermittelt werden und schreibe zusätzlich mehrere cookies (wiederrum mit crypt verschlüsselt) um den benutzer eindeutig zuzuordnen.

bedenke bei der variante auch, dass sich nicht alle benutzer ausloggen und du da wiederrum eine sicherheitslücke hast. da wäre ein autologout (z.b. mit timestamp und einem zeitvergleich) hilfreich.

viel erfolg

cr

Hallo

Eigentlich würde ich nur gerne wissen, welche Bedenken es bezüglich Sicherheit in meinem Projekt gibt.

Die Funktionen zum Verbinden mit der Datenbank und die benötigten Tabellen-Funktionen stehen in php-Dateien, die wiederrum in htacces-geschützen Ordnern liegen und includet werden. So sollten die Funktionen auf den MySQL-Tabellen ja halbwegs unsichtbar sein, das ganze also relativ sicher.

Noch besser ist die Ablage der PHP-Skripte, mit denen man auf den Mechanismus schließen kann, außerhalb der DOCUMENT_ROOT. So kann zwar weiterhin über das Dateisystem aber nicht über HTTP(S) darauf zugegriffen werden.

Ich möchte das ganze ohne Sessions machen (da ich davon nicht viel Ahnung habe und in anderen Foren auf Beiträge mit Problemen bei Sessions gestoßen bin).

Der Sessionmechanismus von PHP funktioniert, sonst würde der, auch auf großen Seiten, nicht eingesetzt.

Damit der Benutzer jedoch beim wechseln der Seiten trotzdem eingeloggt bleibt, müssen ja gewisse Daten (nur die nötigsten) per POST oder GET zur nächsten Seite übermittelt werden (nach dem Motto userpage.php?logged_in=1) :-).

Grundsätzlich ist allen Daten, die vom Benutzer kommen, zu misstrauen. Das gilt insbesondere für POST- oder GET-Daten.

Die Pseudo-Session-ID müsste zum übertragen per POST dann jedoch auf jeder Seite in einem versteckten Formular schlummern. Da liegt mein Bedenken zur Sicherheit.

Da liegt es zurecht.

Damit es für den Benutzer möglich ist zu jeder beliebeigen Seite zu wechseln, müsste folgendes gegeben sein: Der Seitenlink auf den der Benutzer klickt, müsste eine Javascript-Fkt aufrufen, die im Pseudo-Session-ID-Formular, den action-Attribut ändert (auf die gewünschte Seite).

Ist dieses Script dann eine zusätzliche Sicherheitslücke?

Es ist sowohl eine Sicherheitslücke, da jeder Besucher der Seite auf den Quelltext der JavaScript-Funktion zugreifen kann, als auch eine Barriere, denn es schließt, durch die zwingende Verwendung von JavaScript, Besucher aus, denen dies, aus welchen Gründen auch immer, nicht zur Verfügung steht.

Beschäftige dich mit Sessions (so schwer ist das nicht), übermittle _nur_ die Session-ID (das .htaccess-Passwort ansich wird ja eigenständig übermittelt) und speichere alle Nutzdaten, die über mehrere Seiten hinweg notwendig sind aber noch nicht in der DB gespeichert werden sollen, im Session-Array auf dem Server.

Tschö, Auge

Hi Headdy,

Beim Registrieren werden die Daten (erstmal Nickname und PW) mit md5 verschlüsselt und in einer MySQL-Tabelle gesichert.

Es gibt keinen Grund, den Nicknamen zu verschlüsseln. Der Zweck des Verschlüsselns in der Datenbank ist, dass ein Blick in die Datenbank nicht die "Login-Informationen" freigibt. Dafür reicht es, das Passwort zu verschlüsseln. Den Nicknamen eines Benutzers wirst Du aber eventuell brauchen können, um Ihn anzureden. Nicknamen ist keine geheimen Daten (Nach dem Login hättest Du ihn ggf. auch so zur Verfügung, aber für eventuelle automatische Emails o.ä. bräuchtest Du ihn aus der Datenbank).

Ich möchte das ganze ohne Sessions machen (da ich davon nicht viel Ahnung habe und in anderen Foren auf Beiträge mit Problemen bei Sessions gestoßen bin).

Wenn Du Sicherheitsprobleme meinst - die wirst Du alle auch mindestens gleichermaßen mit Deiner Konstruktion haben. Ich sehe nicht den geringsten Vorteil Deines Planes, eine Sassion "von Hand zu bauen", gegenüber einer PHP-Session. Im Gegenteil, wenn Du da nicht genau weißt, was Du tust, kannst Du Dir damit große Probleme schaffen. Und weniger komfortabel ist es so oder so. Zwei Apskte, die mir spontan einfallen:

• Du würdest, wenn ich Dich richtig verstehe, alle sessionbezogenen Daten in der Datenbank speichern. Da brauchst Du ein gutes Datenbankdesign oder Du wirst sehr unflexibel, was eventuelle Weiterentwicklungen der Website angeht.

• Du musst gut aufpassen, dass Deine generierten Session-IDs eindeutig sind. Mit Deinen md5-Ansätzen zur Erzeugung verlässt Du Dich dabei auf die Stochastik (oder willst Du bei jedem Erzeugen alle existierenden IDs vergleichen?). Das wird wahrscheinlich gutgehen in der Praxis, aber sauber ist es nicht.

Die Pseudo-Session-ID müsste zum übertragen per POST dann jedoch auf jeder Seite in einem versteckten Formular schlummern. Da liegt mein Bedenken zur Sicherheit.

Ein grundsätzliches potentielles Sicherheitsproblem jeder Session (ob PHP- oder "von Hand gebaut" oder was auch immer) ist: Der Benutzer muss sich bei seinem HTTP-Request identifizieren, d.h. eine Information (die Session-ID) schicken, die (im besten Fall) nur er kennt. D.h. man kommt nicht drumrum, dass die ID, während ein Benutzer eingeloggt ist, irgendwo im Client-Rechner zu finden ist - sei es in einem Cookie oder im beim letzten Request gesendeten Quellcode. Wenn nun andere Leute Zugang zu dem Rechner haben, dann können sie gegebenenfalls die ID herausfinden. Das ist nicht schön, aber nicht zu vermeiden.

Damit es für den Benutzer möglich ist zu jeder beliebeigen Seite zu wechseln, müsste folgendes gegeben sein: Der Seitenlink auf den der Benutzer klickt, müsste eine Javascript-Fkt aufrufen, die im Pseudo-Session-ID-Formular, den action-Attribut ändert (auf die gewünschte Seite).

Ist dieses Script dann eine zusätzliche Sicherheitslücke?

Nicht wirklich. User könnten das Skript zwar manipulieren, aber da hätten sie nicht viel von. Wenn sie das Ziel eines "Links" oder die Session-ID für den nächsten Request manipulieren wollten, können sie gleich das Formular direkt manipulieren und abschicken. Aber es ist extrem umständlich (denke z.B. daran, dass auch alle eventuellen echten Formulare, die Du irgendwo verwendest, mit der Session-ID gefüttert werden müssten), und bringt den generellen Der-User-braucht-JavaScipt-Nachteil mit sich.

Ich rate Dir also energisch von diesem Eigenbau der Sessions ab.

viele Grüße
der Bademeister

echo $begrüßung;

Die Pseudo-Session-ID müsste zum übertragen per POST dann jedoch auf jeder Seite in einem versteckten Formular schlummern.

Neben dem bisherigen Abraten ist das hier ein Punkt der zu Folgeproblemen führt. Nehmen wir an, dass du generell POST-Requests durch die Gegend sendest, damit die Session-ID nicht in der URL landet. Wenn nun ein Besucher in der History zurückblättern möchte, bekommt er immer die Frage, ob er die POST-Daten noch einmal senden möchte. Diese Abfrage wirst du nicht wegbekommen. Der Cookie-basierte Ansatz hingegen, der zur Not auf die URL ausweicht, mit "normalen" GET-Requests arbeitend, hat dieses Problem nicht.

Da liegt mein Bedenken zur Sicherheit.

Bedenken zu irgendeinem Thema lassen sich dadurch ausräumen, indem man sich über das Thema informiert und es letzlich verstanden hat, sowie weiterhin am Ball bleibt, um beim aktuellen Stand - hier des Sicherheitswettrüstens - mitzuhalten. Ein eigenes bedenkenbeladenes Konzept, das in der Praxis nicht getestet ist, ist sicher kein gutes.

echo "$verabschiedung $name";

Moin!

Ich habe vor, einen Webauftritt zu gestalten, in dem sich Benutzer registrieren können, um in einen Mitgliederbereich gelangen zu können (mit eigenem Profil), Forum, etc. Beim Registrieren werden die Daten (erstmal Nickname und PW) mit md5 verschlüsselt und in einer MySQL-Tabelle gesichert.

Die Frage wäre, ob es schlau ist, auch den Nickname durch MD5 zu jagen. Das Resultat wäre, dass du keinerlei Zuordnung mehr hast, welcher User bzw. Username mit welchem Eintrag der Usertabelle in Zusammenhang steht.

Will der Benutzer sich später anmelden (mit Login-Formular), werden die Eingabedaten in md5 verschlüsselt und mit dem Nickname/Passwort in der Datenbank verglichen. Wurde ein passender Eintrag gefunden, ist der Benutzer eingeloggt. Ich möchte das ganze ohne Sessions machen (da ich davon nicht viel Ahnung habe und in anderen Foren auf Beiträge mit Problemen bei Sessions gestoßen bin).

Es geht aber nunmal nicht ohne Session. Das, was du da beschreibst, ist ein selbstgebauter Sessionmechanismus, dem ich pauschal erstmal attestiere, dass er viel mehr Probleme macht, als der in PHP standardmäßig eingebaute Mechanismus, denn der ist millionenfach getestet und funktioniert in 99% aller Fälle problemlos.

Dass du ihn noch nicht magst, weil du ihn noch nicht kennst, kann man ja ändern.

Am allerekligsten finde ich dabei, dass du deshalb alle Seitenaufrufe per POST-Request machen willst. Das bringt einen dermaßenen Zusatzaufwand mit sich, dass man keine Sekunde darüber nachdenken muß, was besser zu verwenden ist: Natürlich der PHP-Mechanismus, nicht deine Idee.

Abgesehen davon: Benutzer können durch nicht beeinflussbare Umstände daran gehindert sein, sich ordnungsgemäß auszuloggen. Ein Mechanismus, der fix "User ist drin" oder "User ist draußen" in einen Permanentspeicher schreibt, birgt Risiken, weil diese Information einfach auch falsch sein kann.

- Sven Rautenberg