AW: Framework ? ...
Zitat:
UNMÖGLICH! Es sei denn du schaffst Mittel und Wege, dass dieser Angriff durchgeführt werden kann. In den vorherigen Postings schreibst du auch irgendwas von "Session Variablen prüfen". Das hört sich so an, als würdest du der Sessionverwaltung nicht vertrauen. Als wären die Sessiondaten von außen manipulierbar... Das sind sie nicht. Es sei denn du schreibst da selber dulles Zeugs rein. Dann würde sich aber die Frage stellen: "Warum tust du so einen Blödsinn?" |
AW: Framework ? ...
Zitat:
Auserdem greife ich mit sessionvariablen nicht auf datenbanken zu ... Das liegt nicht daran das ich der sessionverwaltung nich trauen würde oder was von ausen ereichbar wäre (bisher ist mir nichts aufgefallen...) sondern eher daran das ich mir einfach angewöhnt habe sowas nicht zu machen dafür lege ich halt einen gewissen wert darauf auch "UNMÖGLICHES" in betracht zu ziehen fals mir ein fehler unterläuft. bisher suche ich immernoch nach möglichen fehlerquellen indem ich eigene versuche starte von denen bisher noch keiner erfolg hatte. Ich finde auf das unmögliche vorbereiten ist eine gewisse art von prevention die mögliche angreifer abschrecken könnte. lg R4Zz0R |
AW: Framework ? ...
Hi
Zitat:
Datenbankverbindung und Benutzereingaben sind die wichtigsten zu sichernden. Bei Session sicher/unsicher gehts ja auch "nur" um Session Hijacking z.B. mfg CKaos |
AW: Framework ? ...
Zitat:
Zitat:
Hast du eventuell sogar ein beispiel? (welche lücken du geschlossen hast und damit welche geöfnet zb.) lg R4Zz0R |
AW: Framework ? ...
Zitat:
1. Alle, welche über den selben NAT Router kommen haben die selbe IP 2. Alle 24h wechselt die IP bei DSL Routern 3. Alle welche über einen transparenten Proxy kommen haben die selbe IP 4. Bei AOL Usern kann die IP sekündlich wechseln Merkst du was? |
AW: Framework ? ...
hmm ja das ich mich besser über ip releases bei verschiedenen anbitern erkundigen muss...
24h wechsel nehme ich in kauf das ist kein problem. Selbe ip bei gleichem nat (mehrere pc´s an einer leitung/selber router) ist bisher kein problem mache hier regelmäßig tests von anderen clienten im netzwerk ob sich dadurch probleme ergeben da aber jeder zugriff eine eigene sessionid bekomt ist das kein problem.. Auserdem lasse ich die sessionid ab einem gewissen zeitpunkt den man online ist neu generieren. (timestamp->limit->neue id & timestamp) Über den gesamten zeitraum an dem ein user die seite betritt oder auf ihr verbringt Beim transparenten proxy...Puuh kein plan das war etwas was ich bisher noch nicht eingeplant hatte. Verdammt.... Und was mach ich jetzt am besten?... Das bringt mein konzept recht durcheinander.... lg R4Zz0R |
AW: Framework ? ...
Was du machen solltest?
Hmm... In Punkto Sessions, oder überhaupt? Lese mal: Session Sicherheit (in einem anderen Forum) Aber übertreibe es damit nicht! Im Augenblick scheinst du, mangels Grundlagen, in "Wolkenkuckucksheimen" zu schweben. Tipp: Es gibt nur 3 Wege welche zum Erfolg führen: 1. Der Goldene: Problem analysieren, Lösung finden, Lösung durchsetzen 2. Der Silberne: Genauso machen wie die Anderen. Abgucken! 3. Der Bronzene: Aus Erfahrung lernen. Alle anderen führen nicht zum Ziel. |
AW: Framework ? ...
Zitat:
Ihr habt ja nun auch schon einiges über euch erzählt nun etwas zu mir. Solche sätze habe ich schon oft gehört und das ein projekt zu groß wäre um es für sich alleine und einfach nur aus hobby, spaß und dem wissendrang über etwas nachzugehen. FALSCH!!! Wenn man sich wie ich einfach das ziel gesetzt hat sowas zu schaffen ist das auch durchaus möglich. Ich kämpf mich jetzt 6 jahre damit durch und versuche nur besser zu werden und das werde ich. "mangels Grundlagen" würde ich bei mir nicht behaupten nur habe ich bisher nach lösungsansätzen gesucht die weniger auf solche probleme wie transparente proxys ect. richten wegen der sekündlich wechselnden ip von aol usern muss ich mich schon nochmal schlau machen aber da hab ich gerade noch garkeinen großen ansatz auser cookie aber wer so schnell wechselnde ip hat mag warscheinlich keine cookies.. naja... Und noch ein kleiner nachtrag... Mein code aus der index.php: PHP-Code:
Trozdem danke für den hilfreichen link 2ter klick gleich ein interessantes pdf ;) Werde mal sehen wie ich bestimte ansätze umsetze.. LG R4Zz0R |
AW: Framework ? ...
PHP-Code:
Würde dann auch gerne mal deinen Controler sehen... ;-) |
AW: Framework ? ...
PHP-Code:
Ungern da es dabei schon recht gut ins detail geht wie meine seite funktioniert und dein kommentar wegen des include path mich stuzig macht ... was meinst du damit genau?. (^^hardcoded und ich sehe keine manipulationsmöglichkeit).. verwende öfter include in meinem code teils auch für wichtige codesegmente deren pfad aber von mir festgelegt wurde wie im obrigen codebeispiel. LG R4Zz0R |
Alle Zeitangaben in WEZ +2. Es ist jetzt 16:46:35 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.