Kommentare zu: Shop-Risiken: Falscher Umgang mit Session-ID

Von: Dimi

Dimi — Tue, 17 Feb 2009 17:22:07 +0000

Eigentlich reicht auch einfach einfache Zuordnung der IP zu der jeweiligen SessionID.
Da kann dann jeder die SessionID in die Hände bekommen wie er will – in den Shop kommt er trotzdem nicht.

Von: PHP-Freak

PHP-Freak — Fri, 23 Jan 2009 09:00:33 +0000

@ronny engelmann

Naja, ich handhabe es so, das wenn ein User/Kunde im Shop Cookies erlaubt, dann bekommt er nur diesen. Wenn er aber keine Cookies erlaubt, dann wird eine URL-Session gestartet.

Ich habe jetzt auch nochmal geschaut, auch der nach meiner Meinung größte deutsche Versandhändler (wie der Komiker mit den vier Buchstaben) verwendet Sessions in der URL, wenn Cookies nicht erlaubt sind.

Das viele (Hobby) Programmierer die mal eine Shop auf PHP Basis zusammenkopiert haben und dann verkaufen wollen, lieber auf die only Cookie Verwendung verweisen kann ich verstehen, weil viele mit den SESSION Funktionen in PHP nicht klar kommen. Man Besuche nur die vielen Hilfeforen und Suche dort nach Session.

@hartmut
SSL schützt aber nicht vor Session Mapping.

Von: hartmut-lehmann.com / medienlese

hartmut-lehmann.com / medienlese — Sat, 17 Jan 2009 15:40:11 +0000

Shop-Risiken: Falscher Umgang mit Session-ID

Viele Shopbetreiber und Onlineshopper sind mittlerweile sensibler im Umgang mit dem Thema Sicherheit geworden. So erfolgt der Großteil der Internetbestellungen beispielsweise über gesicherte SSL-Verbindungen. Tatsächlich existieren jedoch mehr Bedro…

Von: Ronny Engelmann

Ronny Engelmann — Fri, 16 Jan 2009 19:58:23 +0000

@PHP-Freak: Der Einsatz von Cookies dient hier der Sicherheit des Besuchers eines Internet-Shops. Leute die keine Cookies erlauben, sollten darauf hingewiesen werden, dass bestimmte Aktionen nicht durchgeführt werden können (Warenkorb…).
Session-ID in der URL sollte stets vermieden werden. Cookies lassen sich auch zusätzlich schützen: HttpOnly, Secure-Flag (Übermittlung per SSL).

Von: PHP-Freak

PHP-Freak — Fri, 16 Jan 2009 12:04:11 +0000

>>>Je nach Shopsystem kann die Session-ID auch ohne “Mitschleifen” über die URL gespeichert werden. Dies kann durch Hidden Fields oder Cookies realisiert werden. <<<

Wenn man das interne weiterreichen über die URL nicht nutzt, hat man aber schnell ein paar Kunden die etwas sauer sind, weil ständig Ihre Daten/Warenkörbe verloren gehen. Das liegt daran das es doch mehrere Leute gibt die keine Cookies erlauben.

Und hidden Fields gehen ja nur über Felder. Wer jetzt aber alle normalen Links in Formulare umbaut, kann eigentlich gleich sein Shop dichtmachen, denn die Sumas folgen keine Formulare, folglich findet man sich in der Suchergebnissen nicht mehr wieder.

Da bleibt nur:
- Timeout,
- generelles Login für Adressdaten etc,
- eventuell Sessionwechsel nach Aktion XY,

Von: Marco Verch

Marco Verch — Wed, 14 Jan 2009 10:37:52 +0000

Hallo Herr Engelmann,
vielen Dank für Ihre Hinweise. Ich habe den Abschnitt zu weiteren Erkennungsmerkmalen ergänzt: “Dies bietet zumindest einen einfachen Schutz.”
Grüße aus Köln

Von: Askold

Askold — Wed, 14 Jan 2009 08:09:28 +0000

Ganz interessant der Artikel, der Ansatz auf jedenfall. Da werd ich mir demnächst mal Zeit nehmen, die ganze Sache zu durchdenken wo da noch Sicherheitslücken auftauchen könnten.

Von: Ronny Engelmann

Ronny Engelmann — Wed, 14 Jan 2009 07:19:21 +0000

Das Abspeichern des User-Agent als Erkennungsmerkmal für eine Session ist problematisch. Über eine XSS-Lücke lässt sich ein Angreifer für gewöhnlich neben der aktuellen Session-ID (in URL oder Cookie) per JavaScript auch weitere Merkmale zukommen. Für die Übernahme der aktiven Session lässt sich der User-Agent dann sehr einfach fälschen.

Eine leider bisher noch nicht sehr beachtetet Maßnahme gegen Session-Hijacking ist der Einsatz eines Request-Token.
http://en.wikipedia.org/wiki/Talk:Session_hijacking