Zur Boardunity Forenstartseite
  #26  
Alt 30.11.2003, 13:52
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
naja php macht das ja automatisch mit der session über cookie oder halt link...
mfg

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
  #27  
Alt 30.11.2003, 18:32
Benutzerbild von TRS
TRS TRS ist offline
Mitglied
 
Registriert seit: 02.2003
Ort: Berlin
Beiträge: 995
Kannst du doch selber beeinflussen, wie das übergeben wird. Ist ja nicht so die große Kunst.

  #28  
Alt 30.11.2003, 20:54
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
@ciruZ
Wenn ich mir die Beiträge so durchlese ist im pbb ein Session System welches genauso arbeitet wie das von PHP. Warum also ein eigenes schreiben?? Das wird mir immer noch nicht klar.

Die Systeme die ich kenne und ein eigenes Session System integriert haben, nutzen es um die höchstmögliche Sicherheit zu gewährleisten und überprüfen Daten wie IP, Browser usw., direkt bei der Abfrage, aber soetwas gibts ja scheinbar bei dir nicht.

Du hattest angesprochen das es mit Proxys Probleme geben kann. Dazu möchte ich nur anmerken das die meisten Proxy Server die korrekte IP übergeben, und zwar in der Variable $_SERVER['HTTP_X_FORWARDED_FOR'] und ich behaupte jetzt einfach mal das die meisten Benutzer die Proxys ihres Hosters nutzen und wenn jemand schon nen anonymen Proxy nutzen muss, ist er entweder paranoid oder hat etwas ausgefressen, und so einen möchte man ja nicht unbdingt als Nutzer haben.

Ach ja, ich hätte gern ein paar Bugs im PHP Session System genannt, da du sie ja schon mehrmals erwähnt hast wirst du sie ja kennen.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #29  
Alt 30.11.2003, 22:22
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Original geschrieben von ciruZ
@DaddyCool:
Ich habe schon ne Menge Bugs aufgelistet, lies mal.
Ähm, ich glaub ich bin zu blöd dazu, aber ich finde in keinem deiner Beiträge die Nennung eines Bugs.

Das einzige was entfernte Ähnlichkeit mit einem Bug hat ist das Phänomen das man selbst bestimmen kann wie die SID lauten soll. Das dieses Verhalten aber so korrekt ist habe ich ja bereits erläutert. Denn auch wenn "abc" ein wenig kurz ist, ist es doch eine korrekte SID.

Das mit dem Browser war nur ein beispiel, denn dies habe ich jetzt schon öfter in Session Systemen gesehen.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #30  
Alt 06.12.2003, 13:26
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Original geschrieben von ciruZ
Ok, das hier hast du dann wohl übersehen:
- Bei vielen alten Versionen ist es möglich den Sessin Inhalt zu kriegen. Und du weißt ja nie, welche PHP Version der jenige einsetzt. Sicherer ist es also, ein eigenes zu schreiben, SQL basiert.
Konfigurationssache. PHP hat seit Version 4.0.0 die Funktion session_save_path() integriert. Im übrigen kann der Server Admin jeden Benutzer ein Extra Verzeichnis zuweisen. Confixx macht es vor.

Genauso könnte er Serveradmin aber jeden Benutzer den Zugriff auf jede DB geben.

Zitat:

- Die Übergabe der SID funktioniert oft nicht richtig. Es wird z.B. eine Cookie gesetzt obwohl der Browser es gar nicht kann etc.
verdammt. Das hellsehen muss man PHP in der Tat noch beibringen, das ist wirklich ein Security Bug.

Woher soll PHP wissen ob ein Browser Cookies annimmt oder nicht wenn es das nicht probiert??

Zitat:
- Generell wird manchmal so ein Schrott produziert, dass einige Browser gar nicht mehr mit klar kommen. Besonders bei alten PHP Versionen.
beispiele??

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #31  
Alt 06.12.2003, 13:39
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Original geschrieben von ciruZ
Woher PHP das wissen soll? Einfach erstmal beides machen!
Wenn er dann merkt, dass das Cookie da ist, kann er beim nächsten mal die SID einfach aus der URL raus lassen.
Standardmäßig Cookies ist dämlich! Wenn dann standardmäßig über URL!
Aber dann setzt er doch ein cookie auch wenn der Browser keine annimmt, ich denke das willst du nicht.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #32  
Alt 06.12.2003, 14:03
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Original geschrieben von ciruZ
Was ich nicht will ist, dass er ein Cookie setzt und nur das macht - und das macht php standardmäßig.
Ich will, dass erstmal die SID in der URL ist und im Cookie. Beim nächsten laden weißt du ja, ob das Cookie noch da ist - OHNE das du ausgeloggt wurdest.
Aber bei nem Forum ist das nicht so sinnvoll wenn es jeder einstellen kann.
Und auch wieder antworte ich: Konfigurationssache.

Du kannst PHP so konfigurieren das er genau das gewünschte Verhalten aufweist.

Man aktiviere dazu nur: session.use_trans_sid

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #33  
Alt 06.12.2003, 14:14
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Original geschrieben von ciruZ
Das ist klar, aber was, wenn ini_set deaktiviert ist? Ich glaube, dann hast du ein Problem :P...
Das sollte dr Coder mitdenken und die Werte selbst an eine URL anfügen, anders macht man es bei einem eigenen System ja auch nicht.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #34  
Alt 06.12.2003, 14:26
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Original geschrieben von ciruZ
Und dann entstehen Sachen wie sid=blabla&sid=blabla was auch wieder sehr toll ist und nicht grade sauber ...
Seit PHP3 gibt es get_cfg_var() mit dem man Überprüfen kann wie php konfiguriert ist.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #35  
Alt 06.12.2003, 18:23
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Das mag sein, aber um mal auf die eigentliche Frage zurückzukommen: Was für Security Bugs??

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #36  
Alt 06.12.2003, 20:02
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Original geschrieben von ciruZ
Wurden doch schon größten teils genannt.
Dann zähl sie bitte nochmal auf

Zitat:

Wenn dir das immer noch nicht reicht such mal auf php.net
Hab ich doch glatt mal gemacht und den Bug Tracker durchsucht, und es gab tatsächlich mal einen wirklichen Security Bug in PHP (nicht das was du dafür hälst, die tauchen aber auch oft auf). Dieser wurde aber nach der Beta 2 von PHP 4 gefixed.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #37  
Alt 07.12.2003, 10:10
Benutzerbild von TRS
TRS TRS ist offline
Mitglied
 
Registriert seit: 02.2003
Ort: Berlin
Beiträge: 995
Also,

ich frage mich jetzt eines. Wenn in deine Augen Fehler in älteren PHP Versionen bereits ein Kriterium sind um ein eigenes Sessionsystem zu programmieren, wie gehst du dann mit anderen Sicherheitslücken eines Webservers um?

Abgesehen davon, wer sagt das dein Sessionsystem sicherer ist. Sofern dein Forum irgendwann als Download verfügbar sein wird, finden sich auch dort Sicherheitslücken.

  #38  
Alt 07.12.2003, 10:36
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von ciruZ
Tja, siehst du, in jeder Version gabs irgendwo nen Bug. Und woher willst du wissen, das der Webhoster nicht grade diese verwendet? In späteren Versionen waren auch noch Sachen.
Weil diese Version schon seit laaaangem veraltet ist, wie gesagt, es war die Beta 2 von PHP4, und das Webhoster immer darauf bedacht sind ihren Benutzern eine möglichst aktuelle Version zu bieten, dürfte diese nicht mehr im Einsatz sein.

Und was war in späteren Versionen?? Du sagst immer, es war was, es ist was drin, nun nenn doch endlich mal etwas. Ansonsten bestätigst du nur meine Meinung, das du eine Rechtvertigung für ein eigenes Session System brauchst, und es in deinem fall keinen wirklichen grund dafür gibt.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #39  
Alt 07.12.2003, 11:37
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von ciruZ
Wenn du unbedingt das PHP Sessionsystem verwenden willst, verwende es. Aber mecker nicht, wenn es dann nachher nicht so funktioniert wie du willst.
Mein Session System brauch ich nicht rechtfertigen, denn da ich sowieso WIW hab ist es sinnvoller.
Dem entnehme ich du kennst keine Security Bugs im PHP Session System, denn um die Nennung derer drückst du dich ja schon die ganze Zeit. Mehr wollte ich gar nicht wissen.

Du hast übrigends vergessen auf die Frage von reimer zu antworten.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #40  
Alt 07.12.2003, 11:39
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
wiw?
also ich benutzt das php session sys und muss sagen das ich keine probleme damit habe..
mfg

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
  #41  
Alt 07.12.2003, 11:43
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von trashar
wiw?
Wer ist wo

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #42  
Alt 07.12.2003, 11:48
Benutzerbild von Björn
Boardunity Team
 
Registriert seit: 10.2003
Ort: Rhode
Beiträge: 1.205
öhm trottel ich *gg*
hab das doch selber bei mir eingebaut *gg*
mfg

__________________
Björn C. Klein
Welt-Held!
PunkRockNews.de
  #43  
Alt 07.12.2003, 11:53
Benutzerbild von Frederic Schneider
WoltLab Holzmichl
 
Registriert seit: 07.2003
Ort: Eschborn
Beiträge: 1.287
Also jetzt möchte ich auch (nocheinmal) etwas dazu sagen:
Ich finde das PHP Sessionsystem mehr als ausreichend und es bedeckt auch fast alle meine Wünsche die ich an dieses stelle.
Von Securitybugs mag ich da nicht reden, wie ciruZ.

Für ein größeres Projekt, wie z.B. meine Forensoftware, werde ich aber auch mein eigenes Sessionsystem programmieren, ich sehe dort den Sinne drinne zwei Fliegen mit einer Klappe zu schlagen. Ein eigenes Sessionsystem hat auch gegenüber dem vom PHP Vorteile, dass man nicht auf spezifische Funktionen (z.B. ini) von PHP zugreifen muss, die vielleicht vom Webhoster deaktiviert wurden.

Für kleinere Projekte wie z.B. an der Ramsau Page wo ich gerade drann arbeite und ein komplett eigenes kleines Forum programmiere, reicht mir das PHP Sessionsystem.

__________________
Frederic Schneider
WoltLab Team / WoltLab Wiki / GamePorts / Frederic Schneider / neuer-patriotismus.de
  #44  
Alt 07.12.2003, 12:08
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von ciruZ
Frederic, genau so sehe ich das auch.
Für kleine Sachen reicht das von PHP. Ich verwende es z.B. im ACP. Da werden nie viele User sein *g* (aber das werd ich wahrscheinlich auch noch ändern)
Aber jetzt für ein Forum ist doch schon sehr unprofessionell.
Ob ein Forum wirklich ein eigenes Sessionsystem braucht lasse ich mal dahingestellt.

Was aber unprofessionel ist, sich auf Security Bugs zu beziehen die es nicht gibt, bzw. von dem es nur einen in der betaphase von PHP4 gab (eine Version die nie für den produktiven Einsatz freigegeben wurde).

Ich selber habe auch ein eigenes Session System integriert. Dies habe ich getan um spezielle Überprüfungen auf die Zugehörigkeit eines Users zu ermöglichen, und dann direkt von Fall zu Fall zu entscheiden was zu tun ist. Würde mir das PHP Session System es ermöglichen noch vor dem öffnen einer Session die Zugehörigkeit eines Benutzers zu überprüfen. Könnte ich mir sogar vorstellen es einzusetzen. Dem ist aber nicht so.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #45  
Alt 07.12.2003, 13:36
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von ciruZ
Was willste denn überprüfen? IP? Browser?
Das geht damit auch ...
In der Art ja.

Wie gesagt will ich die entsprechenden Daten aber prüfen bevor die Session geöffnet wurde.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #46  
Alt 07.12.2003, 14:26
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von ciruZ
Du kannst die Session öffnen, überprüfen, wenn falsch ist wieder schließen.
Wäre eine Möglichkeit, jedoch bietet mir PHP in diesem Fall erst ab Version 4.3.2 die passenden Werkzeuge, und da man wie du ja sicherlich weißt auch an die älteren Versionen denken muss, lasse ich es lieber.

Im übrigen ist bei mir die Überprüfung direkt im Query eingebettet, sodass rein theoretisch verschiedene User die gleiche SID haben könnten, die Session jedoch andere Daten enthält.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #47  
Alt 07.12.2003, 14:38
Benutzerbild von DaddyCool
Platzanweiser
 
Registriert seit: 10.2003
Ort: Niedersachsen
Beiträge: 306
Zitat:
Zitat von ciruZ
... was aber nicht sehr sinnvoll wäre.
Ich bevorzuge immer noch eine Überprüfung per PHP - ist meistens schneller.
Die aktionen die er macht wenn er keine Session gefunden hat oder die Daten falsch sind sind zwar die selben, aber ein if ist meist schneller als ein WHERE bedingung.
Das glaube ich ehrlich gesagt nicht.

MySQL wurde speziell darauf ausgerichtet Große Datenmengen zu verwalten und die richtigen (oder gar keine) zu liefern. Haben die richtigen Spalten einen Index sollte es rein theoretisch genauso schnell, vielleicht sogar schneller sein als wenn ich alle Ergebnisse einer SID hole und jeweils überprüfe. (Nicht vergessen, mehrere User können bei mir die gleiche SID haben, theoretisch zumindest )

Allerdings wäre dazu ein Benchmark nötig, deswegen macht es eigentlich keinen Sinn sich über den Punkt zu streiten.

__________________
Fabian Martin
Fabian Martin

Blog | Twitter | XING
  #48  
Alt 07.12.2003, 14:55
Mitglied
 
Registriert seit: 10.2003
Ort: Bottrop
Beiträge: 779
Ich verwende für mein kleines billig-Forum auch ein eigenes Session-System... allerdings im Prinzip noch ohne sid (zum entwickeln reichen mir Cookies...).

Vorteil ist klar... man kann Useronline-List usw. direkt mit einbinden. Das geht mit PHP nicht...

Ausserdem ist mein einziger Versuch das zu verwenden gründlich in die Hose gegangen... (nach drei Klicks war die Session gelöscht...)

__________________
Patrick Gotthardt
Patrick Gotthardt on Software
Antwort


Stichworte
-

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25