5 Practices gegen Session Hijacking und ein Tutorial

Ihr möchtet mehr Features im MyOOS integriert haben? Dann stellt hier Eure Wünsche ins Board und wir werden darüber diskutieren.
r23
Beiträge: 1577
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Beitragvon r23 » 03.01.2009, 00:48

Hallo,

ich denke wir werden in die MyOOS Version im Februar, eine kleine Erweiterung
gegen Session Hijacking einbauen.


Basis
http://it-republik.de/php/news/5-Practi ... 46535.html


Wir werden Tocken verwenden


http://www.serversidemagazine.com/php/p ... rf-attacks

Code: Alles auswählen

$token = md5(uniqid(rand(), true));

Code: Alles auswählen

$_SESSION['token] = $token;

Code: Alles auswählen

if ( (!empty($_SESSION['token])) && (!empty($_POST['token])) ) { if ($_SESSION['token] == $_POST['token]) { //process the form } }
Diesen werden wir mit Sicherheit übernehmen.


Ein Timeout, wir auf der Seite beschrieben
http://www.serversidemagazine.com/php/p ... rf-attacks

möchte ich zurzeit nicht in das Projekt übernehmen.

In der nächsten MyOOS Version 1.7.12 haben wir bereits einige weitere Werkezeuge (Informationen)
zur Verhinderung von Session Hijacking eingebaut.

Argumente und weitere Vorschläge sind willkommen ;)

cu

ralf
Zuletzt geändert von r23 am 23.12.2009, 15:53, insgesamt 2-mal geändert.

Zurück zu „MyOOS: Wünsche“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast