5 Practices gegen Session Hijacking und ein Tutorial

MyOOS hat einen Fehler, oder tut nicht das, was Ihr erwartet? Derartige "Unanehmlichkeiten" bitte hier.
Gesperrt
r23
Beiträge: 2622
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Beitrag von r23 »

Hallo,

ich denke wir werden in die MyOOS Version im Februar, eine kleine Erweiterung
gegen Session Hijacking einbauen.


Basis
http://it-republik.de/php/news/5-Practi ... 46535.html


Wir werden Tocken verwenden


http://www.serversidemagazine.com/php/p ... rf-attacks

Code: Alles auswählen

$token = md5(uniqid(rand(), true));

Code: Alles auswählen

$_SESSION['token] = $token;

Code: Alles auswählen

if ( (!empty($_SESSION['token])) && (!empty($_POST['token])) ) {
    if ($_SESSION['token] == $_POST['token]) {
       //process the form
    }    
}
Diesen werden wir mit Sicherheit übernehmen.


Ein Timeout, wir auf der Seite beschrieben
http://www.serversidemagazine.com/php/p ... rf-attacks

möchte ich zurzeit nicht in das Projekt übernehmen.

In der nächsten MyOOS Version 1.7.12 haben wir bereits einige weitere Werkezeuge (Informationen)
zur Verhinderung von Session Hijacking eingebaut.

Argumente und weitere Vorschläge sind willkommen ;)

cu

ralf
Zuletzt geändert von r23 am 23.12.2009, 15:53, insgesamt 2-mal geändert.
Gesperrt