Re: Sicherheitsmängel - Online-Shops: Ein Fenster von vier Sekun…
>
> > Ervin Peters schrieb am 10. November 2006 11:41
> >
> > > derwissende schrieb am 10. November 2006 9:59
> > >
> > > > Naja, ich sehe den Vorteil in einer Registrierung darin das sich der
> > > > Kunde seine Bestellungen nochmal aufrufen kann und sie auch ändern
> > > > kann.
>
> > Das ist böse! Sitzungsschlüssel sollten nicht in URLs stehen, weil
> > sie dadurch über den HTTP-Referer weitergegeben werden können.
>
> Das muß man abwägen. Es gibt IMHO keinen Mechanismus der das
> Entführen der Sessions verhindern könnte, wenn man nicht https
> verwendet
Das Abhören der Verbindung ist ein zusätzliches Problem.
> > Außerdem sollte eine Sitzung nach relativ kurzer Zeit der Inaktivität
> > beendet werden, weil sonst die Gefahr steigt, dass die Sitzung
> > entführt wird.
>
> Bleibt die Frage:
> Warum sollte jemand Sitzungen entführen?
Zum Beispiel um unter fremdem Namen etwas zu bestellen? Bringt dem
Angreifer zwar nicht wirklich was, aber wie viele Angriffe werden
gemacht, die dem Angreifer eigentlich nichts bringen…
> wie kommt eine ordentliche Authentifizierung und Bestätigung des
> $customers zustande?
Wieder ein anderes Problem.
> > Dann lieber alles (außer dem Sitzungsschlüssel) in einen Cookie
> > packen.
>
> Und das hilft jetzt genau wofür?
Dass man nicht mit dauerhaft geöffneten Sitzungen arbeiten muss, die
noch dazu über einen leicht zu stehlenden Sitzungschlüssel im URL
stehen.
cryptos