nicht angemeldet
Hallo,
In einem externen JavaScript sollte man sie nicht unterbringen, denn das kann einfach von einer anderen Site eingebunden werden – und schon sind die Sessiondaten gestohlen. (Gut, man könnte das mit einem POST und einem CSRF-Token absichern, aber wozu der Aufwand.)
Man würde ja aber keine Daten einbinden, die nicht ohnehin öffentlich sind.
Würde man nicht? Du hast es gedankenlos getan, andere schon vor dir. So sind z.B. Sicherheitslücken in GMail entstanden. Das Adressbuch wurde als externes JavaScript/JSON geladen. Mit ein paar Tricks konnte das eine fremde Site auslesen.
Es ist ferner wichtig zu verstehen, dass es verschiedene Arten von »öffentlich« im Web gibt:
1. Ressourcen, die von einem beliebigen HTTP-Client angefordert werden können (das sind alle).
2. Ressourcen, die im Browser von einer anderen Site aus per HTML/CSS/JS/SVG/… angefordert und ausgelesen werden können (das sind möglichst wenige).
Alle Ressourcen können durch Sessions, HTTP Basic Auth usw. personalisiert und abgesichert werden.
Bei letzteren Ressourcen besteht die Gefahr von Cross-Site Request Forgery (CSRF), da der Session-Cookie und andere Credentials mitgesendet werden.
HTML-Dateien sind durch die Same-Origin-Policy vor dem Auslesen durch fremde Sites im Browser geschützt. Es sei denn, der server erlaubt es explizit mittels CORS.
Scripte sind nicht derartig geschützt. Scripte können problemlos von anderen Servern eingebunden werden, werden dann im Kontext der aktuellen Seite ausgeführt. Das ist gleichzeitig ein Feature von JavaScript und eine Quelle unzähliger Sicherheitsprobleme.
Wenn ich die Daten im Beispiel aus der Session-Datei geholt habe, dann, weil das hier am einfachsten darzustellen war.
Ein sehr schlechtes Beispiel, das könnte jemand lesen und für bare Münze nehmen.
Ich versuche das Grundverständnis dafür wiederherzustellen, an welchen Stellen die Gefahrenpotentiale liegen.
Dann würde ich vorschlagen, erst einmal Recherche zu betreiben. Es gibt viele gute Artikel zum Thema, auch im Forumsarchiv gibt es viele entsprechende Diskussionen. Das unstrukturierte Fragen hier bringt m.E. wenig Erkenntnis.
Mathias
Der Martin