Vorschlag zum login.
Leute ich bin am überlegen und am überlegen....
Session hijacking kann ja eigentlich nur dann passieren wenn:
1.) Der angreifer an die sessionid kommt (zb. durch link übergeben, trojaner auf dem clienten der den cookie liest ect..)
2.) Der angreifer einen link mit session id geschickt bekommen hat.
3.) Der programmierer einen fehler gemacht hat bei der verarbeitung der ihm bereitgestellten daten.
Nun kommen wir zu den schwarzsehern:
1.) Der angreifer es geschafft hat seine ip zur selben wie der des users dessen session geklaut werden soll zu machen ....
2.) Der angreifer hat es geschafft die seite so zu manipulieren das er in die aktuellen sessions einzugreifen kann
oder...oder...oder...
Jetzt stehe ich wieder vor der schweren frage welche daten soll ich nun auswerten und wie bekomme ich genügend flexibilität in das ganze das es problemlos auf alle funktionen eines eingeloggten users zugreift ohne dabei irgentwelche hijacking möglichkeiten zu bieten und ohne angriffsfläche für Cross side scripting oder andere angriffe...
Vorallem wäre es noch interresant was ihr gästen so erlaubt und was nicht und welche arten von überprüfungen ihr so benutzt.
Bisher habe ich einen mysql login relativ standart auswertung der clientdaten sind ip und browser des benutzers über session...
Keine cookies da die meisten user cookies aus haben.
Ich hoffe ihr versteht das ich mir nicht alles einschränken kann und will weil dann die usabillity doch ein wenig sinkt und die codes dann wieder übermäßig groß werden.
ein gutes mas zwischen sicherheit und usability bzw. codegröße und performance da ich das ganze später bei einem freehoster laufen lassen können will ohne deren server in die knie zu zwingen auch wenn das unrealistisch klingt scheinbar laufen auf den servern von space² ganz schön serverlastige seiten xD
Daher Hiiiilfe ich verlier den durchblick langsam vor möglichkeiten.
Zitat von "R4Zz0R Gestern im IRC"Konstruktive vorschlaghämmer ?....
MFG
R4Zz0R