Hallo,
wenn ich in der php.ini session.use_cookies ausschalte (bzw. auf 0 setze) mich ins Redaxo einlogge und den MedienPool aufrufe erscheint statt der Medienverwaltung ein Fenster mit dem Login.
Gruß komma.
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Mit der Abschaltung erreiche ich, daß Sessions nicht beim Clienten als Cookie sondern auf dem Server als Datei abgelegt werden.
Da das Verzeichnis, in dem die Dateien abgelegt werden, vom Web nicht aufgerufen/gespeichert/manipuliert werden können wäre es meiner Meinung nach sicherer als wenn man die Session als Cookie beim Clienten speichern lässt.
Gruß komma.
Da das Verzeichnis, in dem die Dateien abgelegt werden, vom Web nicht aufgerufen/gespeichert/manipuliert werden können wäre es meiner Meinung nach sicherer als wenn man die Session als Cookie beim Clienten speichern lässt.
Gruß komma.
-
vscope
- Beiträge: 477
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Austria/Vienna
- Kontaktdaten: ICQ Website
ich liebe diese paranoia 
das session cookie speichert nur temporär die session_id beim kunden.
die session_id sieht ca so aus.
4b0bd9bc0345286650c4216801
Wie lange braucht man wohl um auf eine richtige session zu stossen ...
also das ist ja wirklich nicht realistisch ...
also mach da keine sorgen komma und dreh des wieder auf...
lg
vscope
das session cookie speichert nur temporär die session_id beim kunden.
die session_id sieht ca so aus.
4b0bd9bc0345286650c4216801
Wie lange braucht man wohl um auf eine richtige session zu stossen ...
also das ist ja wirklich nicht realistisch ...
also mach da keine sorgen komma und dreh des wieder auf...
lg
vscope
Hallo vscope,
eine manuelle Suche nach einer Session ID ist auch eher unwahrscheinlich, da stimme ich dir zu, sofern jedoch eine Suche mittels einem Programm im richtigen Ordner durchgeführt wird ist es in der heutigen Zeit im höchstfall eine Sekundensache die richtige Datei zu finden.
Auch wenn du meinst es wäre Paranoid auf die Sicherheit seines Webservers zu achten, so werde ich deiner Empfehlung nicht Folge leisten.
Letztlich kann auch aus diesen Cookies die Arbeitsweise eines Skripts abgelesen werden, z. Bsp. welche Session-Variablen abgefragt werden, welche Werte welcher Variablen zugeordnet werden müssen, etc.
So weiß ein potenzieller Angreifer im Zweifelsfalle ausschließlich seine SID und nichts weiter, somit wird er nicht auch noch mit Informationen von meiner Seite versorgt die er für einen evtl. Angriff einsetzen könnte.
Selbst wenn ein Angriff auf nur 10 von 1000 Webservern gefahren wird, diese 10 wird es im Schadensfall nicht interessieren ob 990 mit einer Warnung davon gekommen sind.
Ob nun Paranoid oder nicht, ich wollte nur daruf hinweisen daß, wenn man diese Einstellung vornimmt es mit dem Medienpool ohne weiteres nicht mehr klappt. Ich kam nur darauf weil ich selbst ein paar Sachen nachgerüstet habe und diese funktionierten weil ich die SID immer anhing und der MedienPool halt nicht.
Da nicht jeder einen eigenen Webserver hat und auch nicht jeder Einfluss auf die php.ini nehmen kann, dachte ich, wäre es doch zumindest als Information für Leute die nur Webspace mit einer MySQL DB haben interesssant woaruf dieses Verhalten zurückzuführen ist. Wer nun nicht jeden Tag mit der php.ini zu tun hat, dem dürfte es auch schwer fallen hinter die Ursache zu kommen.
Gruß komma.
eine manuelle Suche nach einer Session ID ist auch eher unwahrscheinlich, da stimme ich dir zu, sofern jedoch eine Suche mittels einem Programm im richtigen Ordner durchgeführt wird ist es in der heutigen Zeit im höchstfall eine Sekundensache die richtige Datei zu finden.
Auch wenn du meinst es wäre Paranoid auf die Sicherheit seines Webservers zu achten, so werde ich deiner Empfehlung nicht Folge leisten.
Letztlich kann auch aus diesen Cookies die Arbeitsweise eines Skripts abgelesen werden, z. Bsp. welche Session-Variablen abgefragt werden, welche Werte welcher Variablen zugeordnet werden müssen, etc.
So weiß ein potenzieller Angreifer im Zweifelsfalle ausschließlich seine SID und nichts weiter, somit wird er nicht auch noch mit Informationen von meiner Seite versorgt die er für einen evtl. Angriff einsetzen könnte.
Selbst wenn ein Angriff auf nur 10 von 1000 Webservern gefahren wird, diese 10 wird es im Schadensfall nicht interessieren ob 990 mit einer Warnung davon gekommen sind.
Ob nun Paranoid oder nicht, ich wollte nur daruf hinweisen daß, wenn man diese Einstellung vornimmt es mit dem Medienpool ohne weiteres nicht mehr klappt. Ich kam nur darauf weil ich selbst ein paar Sachen nachgerüstet habe und diese funktionierten weil ich die SID immer anhing und der MedienPool halt nicht.
Da nicht jeder einen eigenen Webserver hat und auch nicht jeder Einfluss auf die php.ini nehmen kann, dachte ich, wäre es doch zumindest als Information für Leute die nur Webspace mit einer MySQL DB haben interesssant woaruf dieses Verhalten zurückzuführen ist. Wer nun nicht jeden Tag mit der php.ini zu tun hat, dem dürfte es auch schwer fallen hinter die Ursache zu kommen.
Gruß komma.
-
vscope
- Beiträge: 477
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Austria/Vienna
- Kontaktdaten: ICQ Website
komma du siehst das was grundlegend falsch.
ich erkläre dir mal die funktionsweise der Session:
session_start():
Der Server speichert ein Cookie aus deinem Server mit folgenden Inhalt.
SID=dsf43535f4zg4tg45t54546
Danach speichert der Server AM SERVER!!! in einem TEMP Dir ein file
sess_dsf43535f4zg4tg45t54546
Wenn du ein session_register($var); machst dann speichert der Server
den ihnalt von $var nicht am Client sondern im File AM SERVER !!!!!
wenn du ein print $_SESSION[var] machst checkt er ob du ein Session Cookie hast und wenn ja liest er den Content des AM SERVER befindlichen files sess_dsf43535f4zg4tg45t54546 aus.
Also ist nie was auf dem Client ausser der Session_ID im Session Cookie.
Jetzt sag mir bitte was daran insecure ist.
Schreib mal ein Programm das ca. 100.000.000.000 Mögliche Sessions am Servrer ausprobiert um ein gültiges login zu erhalten.
Und dann schau mal wie lang so ein Programm brauchen wird.
Und überhaupt ist keines der Beiden Fälle mehr oder weniger secure.
Weil in beiden fällen hat der Kunde nur die Session ID !!!!!!
Paranoia ist gut aber man sollte auch wissen warum
lg
vscope
ich erkläre dir mal die funktionsweise der Session:
session_start():
Der Server speichert ein Cookie aus deinem Server mit folgenden Inhalt.
SID=dsf43535f4zg4tg45t54546
Danach speichert der Server AM SERVER!!! in einem TEMP Dir ein file
sess_dsf43535f4zg4tg45t54546
Wenn du ein session_register($var); machst dann speichert der Server
den ihnalt von $var nicht am Client sondern im File AM SERVER !!!!!
wenn du ein print $_SESSION[var] machst checkt er ob du ein Session Cookie hast und wenn ja liest er den Content des AM SERVER befindlichen files sess_dsf43535f4zg4tg45t54546 aus.
Also ist nie was auf dem Client ausser der Session_ID im Session Cookie.
Jetzt sag mir bitte was daran insecure ist.
Schreib mal ein Programm das ca. 100.000.000.000 Mögliche Sessions am Servrer ausprobiert um ein gültiges login zu erhalten.
Und dann schau mal wie lang so ein Programm brauchen wird.
Und überhaupt ist keines der Beiden Fälle mehr oder weniger secure.
Weil in beiden fällen hat der Kunde nur die Session ID !!!!!!
Paranoia ist gut aber man sollte auch wissen warum
lg
vscope