Seite 1 von 1

Verfasst: 03.01.2009, 00:48
von r23
Hallo,

ich denke wir werden in die MyOOS Version im Februar, eine kleine Erweiterung
gegen Session Hijacking einbauen.


Basis
http://it-republik.de/php/news/5-Practi ... 46535.html


Wir werden Tocken verwenden


http://www.serversidemagazine.com/php/p ... rf-attacks

Code: Alles auswählen

$token = md5(uniqid(rand(), true));

Code: Alles auswählen

$_SESSION['token] = $token;

Code: Alles auswählen

if ( (!empty($_SESSION['token])) && (!empty($_POST['token])) ) {
    if ($_SESSION['token] == $_POST['token]) {
       //process the form
    }    
}
Diesen werden wir mit Sicherheit übernehmen.


Ein Timeout, wir auf der Seite beschrieben
http://www.serversidemagazine.com/php/p ... rf-attacks

möchte ich zurzeit nicht in das Projekt übernehmen.

In der nächsten MyOOS Version 1.7.12 haben wir bereits einige weitere Werkezeuge (Informationen)
zur Verhinderung von Session Hijacking eingebaut.

Argumente und weitere Vorschläge sind willkommen ;)

cu

ralf