Re: Sicherheit bei Cookieless Sessions
From: Marco Scheel (atwork_at_visual-evolution.de)
Date: 02/09/04
- Next message: Marco Scheel: "Problem mit Windows 2003 Server und Cookieless Session"
- Previous message: Benjamin Hermann: "Re: Session() ASP <-> ASP.NET"
- In reply to: Kai Schmidke: "Re: Sicherheit bei Cookieless Sessions"
- Messages sorted by: [ date ] [ thread ]
Date: Mon, 9 Feb 2004 08:30:32 +0100
>> feststellen mußte das es Clients gibt die ihrer IP nicht behalten.
> Aus diesem Grund wird unweigerlich die Session nach spätestens einer
> Stunde zerstört. Der User muß sich dann neu anmelden.
Das ist ja der Punkt. Der Client wechselt völlig legal nach jedem Request
sein IP Adresse. Ist ebi einem unsere Kunden passiert. Ein User der B2B
Anwendung hat sich beschwert, das er immer noch eine Seite zu gesicht
bekommt. Max. drei Seiten. Der Check der internen Trackingdaten zeite, das
der Client permanent mit einer anderen IP ankam und ich ihn deshalb als
ungültig raus geworfen habe. Es ist sicherlich selten, aber wenn ich B2B
anbiete, dann muß ich auch sicherstellen, das ein Kunde nicht wegen so etwas
raus fällt. Wenn er noch ein OS/2 Browser nutzt, dann hat er pech, aber wenn
seine gut ausgedachte netzwerk infrastruktur ihn nicht unser System nutzen
läßt das ist das nicht zu vertreten.
Axso: Ich checke natürlich bei jedem Seitenaufruf, ob die Session des Users
noch gültig ist. Und es wird eben auch bei jedem Request, die IP geprüft.
Deswegen habe ich nix dagegen, wenn der User nach einer Stunde raus fliegt,
aber 4 Sekunden sind zu viel :-)
> Aber mal ganz ehrlich. Wie weit soll man das noch treiben? Wenn jemand
> wirklich unbefugt auf die Seiten zugreifen möchte, dann wird der das
> schaffen, egal welches Sicherheitsmaßnahmen man einrichtet. Der
> Angreifer kann genausogut die Zugangsdaten eines Users ausspähen und
> diese dann verwenden. Da kann man dann auf der Site noch so viele
> Überprüfungen machen wie man will.
Das ist richtig. Aber heute wollen Kunden (und ich als Dienstleiter) sicher
gehen, das die Webseite meiner kunden best möglichst geschützt ist.
Userdaten ausspähen geht nur, wenn es sich um eine SSL ungeschützte seite
geht. Natürlich setzt man in so einem Umfeld auf einen SSL Schlüssel, da es
die ja auch schon für 100 Euro (zumindest bei aktuellen Browsern) oder
selbstgemacht für Umsonst gibt (mit Sicherheitswarnung).
Aber du hast recht, wenn er rein will, dann kommt er auch rein, es geht nur
darum, das möglichst schwer zu machen :-)
Ciao Marco
- Next message: Marco Scheel: "Problem mit Windows 2003 Server und Cookieless Session"
- Previous message: Benjamin Hermann: "Re: Session() ASP <-> ASP.NET"
- In reply to: Kai Schmidke: "Re: Sicherheit bei Cookieless Sessions"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
