[Creativ]

Hi,
Ich habe mal eine Frage, und zwar aus einem bestimmten grund (dauert zu lang zu erklaeren und ist eigentlich auch egal) muss ich die logindaten, also username und userid immer in einer session speichern.
Aber damit man noch lange eingeloggt bleiben kann, muss ich das also auch in einem Cookie speichern.

Und jetzt meine Frage
Ist es ein Sicherheitsrisiko, wenn ich jetzt die userid und den usernamen in einem Cookie speicher, und dann beim aufrufen der Seite die daten vom Cookie in eine Session reinschreiben?

Koennte das ein Sicherheitsrisiko darstellen? also koennte man sich dann z.B. mit einem anderen usernamen einloggen?

1. Ich verstehe den Sinn von deinem Script nicht. Du solltest dir mal die Grundlagen ansehen.

2. Ich verstehe deine Frage nicht. Ist der User automatisch eingeloggt wenn er das entsprechende Cookie hat?

[Creativ]

ok, also wenn man sich einloggt wird ein Cookie erstellt und eine Session.
Da die session ja zerstoert wird wenn man den browser schliesst usw. wuerde man ja auch ausgeloggt werden. Deshalb schreibe ich die userid und den usernamen jetzt noch in einen cookie, da der ja erhalten wird.
Und wenn man dann das naechste mal die seite oeffnet, wird kontrolliert ob man die cookies hat, und wenn ja wird die session wieder erstellt und man ist eingeloggt.

Jetzt aber halt meine frage, ist da ein sicherheitsrisiko?

Oder wie sonst koennte ich das machen, das man eingeloggt bleibt, auch wenn man den browser schliesst usw.?

Ja es ist ein Sicherheitsrisiko.
Weil jeder der so ein Cookie besitzt automatisch eingeloggt ist.

Wie kann man das anders lösen?
Jedes mal wenn der User sich einloggt erstellst du einfach ein Sicherheitswort und hashed es mit md5. Dann nimmst du noch den Benutzernamen und hashed diesen. Dann verbindest du die beiden Hashsummen und schneidest zB 40 Zeichen aus.
Das speicherst du in ein Cookie.

Das ist jetzt nur ein Beispiel. Zusätzlich könntest du noch einen Hash aus diversen browseräbhängigen $_SERVER Variablen erstellen und diesen in der DB speichern.

Schließt der Benutzer jetzt den Browser und besucht deine Seite wieder so checkst du ob das Cookie vorhanden ist. Schaust ob die Hashsumme im Cookie passt und checkst ob die Hashsummer der Browservariablen stimmen.
Dadurch verhinderst du zusätzlich noch, dass jemand das Cookie stielt und selbst verwendet, da diese von vielen Faktoren beeinflusst werden (Sprache, Betriebssystem, Browsertyp, Browserversion ...).
Ein Beispiel für eine browserabhängige Variable wäre $_SERVER['HTTP_USER_AGENT']

[schifti]

Wobei man bei $_SERVER['HTTP_USER_AGENT'] drauf achten sollte, das kein böser Code drinn steht.
Deswegen selbst User_Agent mit htmlentities und strip_tags checken...
Geht ganz einfach mit dem FF Extension "User Agent Switcher"

Ich kann das neue Buch "PHP-Sicherheit"

ISBN: 3898643697

(ca. 280 Seiten), 36€ vom dpunkt Verlag nur empfehlen (Grundkenntnisse sind Voraussetzung)

Ja is klar, das solltest du bei allen $_SERVER Variablen machen, weil du nie weißt ob sie nicht von außen verändert werden können oder nicht.

Beispiel $_SERVER['SERVER_NAME']:
Grundsätzlich kann SERVER_NAME nicht verändert d.h. es besteht kein Risiko.
Ist allerdings HTTP_HOST nicht gesetzt oder leer so wird SERVER_NAME vom HTTP Header entnommen. und diesen zu verändern ist ja wohl das einfachste.

Deshalb sollte man alle Server Variablen als "Input" einstufen und mit zB htmlentities bearbeiten.

@schifti
Danke. Ich werds mir mal ansehen .

Das ist auch ziemlich gut:

ISBN: 059600656X

Im Sommer kann ich dann das empfehlen:

ISBN: 0764596349

MfG Fat Tony

[mepeisen]

Zitat:

Zitat von Fat Tony

Beispiel $_SERVER['SERVER_NAME']:
Grundsätzlich kann SERVER_NAME nicht verändert d.h. es besteht kein Risiko.
Ist allerdings HTTP_HOST nicht gesetzt oder leer so wird SERVER_NAME vom HTTP Header entnommen. und diesen zu verändern ist ja wohl das einfachste.

Der Form halber kann man obiges so nicht stehen lassen, denn auch SERVER_NAME lässt sich fälschen und nicht alle Webserver sind so sauber konfiguriert, dass sie dann alles abfangen. Das sicherste ist immer, wenn man auch $_SERVER ausschliesslich in die Kategorie "Potentiell gefährlich" einstuft, und sich entsprechend vor bösswilligen Auswirkungen auf SQLs schützt.