[Alpha Centauri]

Formulare mit gesicherten hidden-Daten übergeben
Das Problem:

Es sollen in einem Formular, mit GET oder POST , ein paar Werte als hidden übergeben werden. Das Versenden der Daten wird immer vom Client (in diesem Fall der Benutzer) ausgeführt. Der Benutzer kann aber auch selber ein Formular generieren und die hidden-Werte manipulieren.

Mit anderen Worten , ich kann nicht davon ausgehen, dass das von mir erstellte Formular auch für den Versand der Daten oder den richtigen Inhalt verwendet wird. Es müssen also Vorkehrungen getroffen werden, die das Manipulieren unmöglich machen , oder zumindest erschweren.

Ansätze zur Lösung:

Schritt 1:

Es ist sicherzustellen, dass das Formular vom Versender kommt.
Um dies zu erreichen muss mit einem Zufallscode, eine Kombination aus zufälligen Zahlen und Buchstaben erstellt werden. Empfohlene grösse des Zufallscode sind 16 oder mehr Zeichen. Der Zufallscode wird ebenfalls als hidden-Wert im Formular dem Client übergeben. Auf dem Server muss der Zufallscode in einer Session zwischengespeichert werden, um den Zufallscode bei der Überprüfung vergleichen zu können.

Der Versender hat schon mal kaum die Möglichkeit den Zufallscode zu erraten. Er kann nur nach Aufruf des richtigen Formulars seine Daten versenden.

Ein Problem besteht allerdings noch. Dem Benutzer steht noch die Möglichkeit offen, das Formular auszurufen und somit auch den passenden Zufallscode zu erhalten. Danach könnte er die hidden-Daten mit den passenden Zufallscode manipulieren.

Um auch das zu verhindern kann man alle hidden-Werte zuvor miteinander als String Verknüpfen und mittels md5-Funktion in einen sog. MD5-Hash umwandeln. Die gleiche Methode wird bei nach dem Empfang der Formulardaten mit diesen Daten wiederholt und beide MD5-Hash's werden verglichen. So kann einen Manipulation der hidden-Werte ausgeschlossen werden.


Diese Methode der Werteüberprüfung funktioniert nur mit Werten die nicht Verändert werden oder nicht verändert werden dürfen. Beispielsweise bei der Navigation von Seiten.

Für Verbesserungen oder andere Lösungen bin ich offen:

org. Quelle: http://tecbase.dyndns.org/forum/viewtopic.php?t=17

[Buhmann]

Zitat:

Zitat von Alpha Centauri

Formulare mit gesicherten hidden-Daten übergeben
[..]Um auch das zu verhindern kann man alle hidden-Werte zuvor miteinander als String Verknüpfen und mittels md5-Funktion in einen sog. MD5-Hash umwandeln.[..]

Wenn ich dich richtig verstehe, sind dir die variablen also schon vorher bekannt. Warum speicherst du sie dann nicht einfach in der Session?

[WarrenFaith]

Mja wenn die Daten in den hidden-felder für jedes Formular fest steht, dann ist es sinnvoller die Daten in die Session zu speichern. So kommt gar keiner erst auf die Idee, dass es dort noch daten gibt, die man manipulieren kann.

[Ben]

Imho haben Angaben, die nicht geändert werden soll oder gar sicherheitsrelevante Angaben nichts in hidden-Feldern zu suchen.

Einen ähnlichen Thread gab es hier schon mal.
hidden, sessions, cookies oder datenbank

Grüße, Ben.

[Alpha Centauri]

Wenn ich die Variablen alle in einer Session speichere , habe ich das Problem, dass die Sessionvariablen im nachfolgenden Schritt erhalten bleiben. Ich müsste die betreffenden Session immer löschen. Dabei gibt es noch das Problem, dass ich auch mehrere Zweige von meinem letzten Punkt haben kann und in den nachfolgenden Zweigen nicht überall eine Funktion schreiben will um die Werte zu löschen.

Weiterhin will ich die Anderen Zweige teilweisse auch von anderen Stellen aufrufen können. Ich sehe in der Beständigkeit der Sessionwerte das Problem mit dem handling.

Wenn ich die Werte über hidden übergeben kann in sicherstellen, dass die Werte auch im 2. Schritt nicht mehr vorhanden sind.

Das ist z.Z. erst mal eine Lösung. Ich weiss ja nicht ob es da noch andere Ansätze gibt?

[Jojo]

Du kannst doch einzelnen Sessionvariablen per unset() löschen.

[Buhmann]

schadet es denn, wenn die werte weitergespeichert werden?

[Ben]

Zitat:

Zitat von Buhmann

wenn die werte weitergespeichert werden?

Na manchmal prüft man ja auch, ob eine Sessionvariable existiert.
Dann macht es schon Sinn diese zu löschen, wenn die Logik es nötig macht.

Beispiel:

PHP-Code:

if(array_key_exists('isLoggedIn', $_SESSION)) {
    // mach was
} 


Klar könnte man das dann auch auf "false" setzen. Aber unset() tut es ja dann auch.
Bin mir allerdings auch nicht sicher, wie denn die übergebenen Daten performancetechnisch zum Tragen kommen.

[freezer]

Da reicht doch auch ein einfaches isset oder nicht?

[Ben]

War ja auch nur ein Beispiel.