Sessions in PHP EINFÜHRUNG 2 UMSETZUNG 5 SICHERHEIT 10 QUELLENVERZEICHNIS 12. Methoden der Datenverarbeitung in HTTP 2. Was sind Sessions?

Transkript

1 Sessions in PHP EINFÜHRUNG 2 Methoden der Datenverarbeitung in HTTP 2 Was sind Sessions? 4 Wofür werden Sessions benötigt? 4 Funktionsweise einer Session 4 UMSETZUNG 5 Starten einer Session 5 Anlegen einer Variablen 5 Auslesen der Session 6 Übergeben und auslesen von Objekten in eine Session 6 Beenden einer Session 9 SICHERHEIT 10 Sind Sessions sicher? 10 Mögliche Angriffe 10 QUELLENVERZEICHNIS 12-1

2 Einführung Das Hypertext Transfer Protokoll (HTTP) ist ein Protokoll zur Übertragung von Daten in einem Netzwerk. Es wird eingesetzt um Webseiten und andere Daten im World Wide Web in einen Webbrowser zu laden. HTTP gehört zu Anwendungsschicht des ISO/OSI Modells. Das Protokoll entwickelte 1989 Tim Berners-Lee am CERN (Europäische Organisation für Kernforschung) zusammen mit dem URL und der HTML. Eines der grundlegenden Merkmale von HTTP ist dessen Zustandslosigkeit: Ist eine Anfrage abgearbeitet, ist die Aufgabe für den HTTP-Server erledigt, das heißt, dass eine Anfrage vom selben Client wenige Sekunden später in keinem Zusammenhang mit der ersten Anfrage steht. Auch die HTTP-Erweiterung Keep-Alive ändert daran nichts. [1] Methoden der Datenverarbeitung in HTTP Es gibt eine Reihe von HTTP-Request-Methoden. GET ist eine davon. Mit GET fordert der Client (Browser) Inhalte vom HTTP-Server an. Das kann zum Beispiel so aussehen: GET / HTTP/1.1 Host: Connection: Close Die Antwort enthält einen Head und einen Body. Im Head steht der Statuscode (erfolgreich oder Fehlermeldung) sowie der Server Name (manchmal auch das Betriebssystem und die PHP Version sofern es sich um ein PHP Dokument handelt was bei einem Angriff auf einen Server recht interessante Informationen sind). Etwa etwas derartiges: HTTP/ OK Date: Thu, 20 Dec :42:00 GMT Server: Apache/ (Unix) X-Powered-By: PHP/4.4.7 Connection: close Transfer-Encoding: chunked Content-Type: text/html <hier folgt der Body z.b. <!DOCTYPE [ ] etc> HTTP/ OK bedeutet: Datei gefunden und Zugriff berechtigt. Date: Datum und Uhrzeit der Übertragung Server: Informationen über den Server und/oder das Betriebssystem des Servers X-Powered-By: Gibt an, dass es sich nicht um eine statische Datei handelt sondern, dass der Inhalt der Datei bei jedem Aufruf von einem Script generiert wird. Connection: close Anfrage fertig bearbeitet somit keine weiteren Anfragen senden. (Wichtig für persistente Verbindungen) Transfer-Encoding: Mit welchem Verfahren wurden die Daten in kleine Pakete aufgeteilt. Diese Angabe ist für Browser wichtig, da diese wieder zusammengesetzt werden müssen. Content-Type: Der Dateityp des Dokuments. Die Anfrage könnte natürlich statt GET / auch GET /?id=5&cat=it lauten. Diese Variablen werden dann aus der URL ausgelesen und in der Globalen Variablen $_GET zur Verfügung gestellt. - 2

3 Bei dem POST Request werden die Daten statt über die URI (Uniform Ressource Identifier) über den Body-Teil übermittelt: POST / HTTP/1.1 Host: bs1ts.de Content-Type: applicatino/x-www-form-urlencoded Content-Lenth: 37 variable1=wert&variable2=andererwert Selbst wenn kein Formular auf der Seite ist das mit <form method= post > eingebetet ist es möglich einen POST Request auszuführen und dieser wird korrekt ausgeführt und die Variablen (variable1 und variable2) werden in der Globalen Variable $_POST zur Verfügung gestellt. Daraus kann man Schlussfolgern, dass es prinzipiell möglich ist die benötigten Variablen über GET und POST mitzuführen und somit zu wissen ob sich mein Benutzer bereits erfolgreich eingeloggt hat. Angenommen wir haben ein Login Skript. Nach einem erfolgreichen Login Speichern wird den Benutzernamen (ein String) und den Login Status (ein Integer-Wert 0 = nicht eingeloggt, 1 = eingeloggt). Erledigen wir das mittels GET sieht die URL nach dem 1. fehlgeschlagenen Loginversuch wie folgt aus: login.php?username=test&login=0 Wenn wir die $_GET Variable auslesen stellen wir fest, dass der Benutzer nicht eingeloggt ist. Verändert der Benutzer nun die URL und ruft die Seite mit den veränderten Parametern auf wird er anstandslos eingeloggt ohne ein Passwort zu kennen. login.php?username=admin&login=1 Der Benutzer braucht praktisch keine Kenntnisse in HTML oder PHP um die Veränderungen vorzunehmen. Nicht ganz so trivial verhält es sich mit POST. Wollen wir die Daten mit der POST Methode speichern müssen wir auf jeder Seite ein Formular haben. (der zurück Button des Browsers funktioniert damit nicht Fehlermeldung: Die von Ihnen angeforderte Seite ist nicht mehr gültig ) In Input Feldern vom Typ hidden schleifen wir alle Variablen durch. Zunächst muss ich bei dieser Art der Programmierung von Beginn an sämtliche für das Projekt benötigte Variablen kennen um nicht auf jeder Seite eine Variable einzufügen sollte einen neue hinzukommen. <input type="hidden" name="username" value=""> <input type="hidden" name="login" value="0"> Auf den ersten Blick meint man, dass diese Art sicher ist. Erstelle ich jetzt ein test.html auf meiner Festplatte mit folgenden Eigenschaften: <form method="post" action=" <input type="text" name="username" value=""> <input type="text" name="login" value=""> <input type="submit" value="absenden"> </form> Jetzt hat man mit fünf simplen Zeilen eine HTML Datei die es einem erlaubt die Variablen username und login nach belieben zu manipulieren. Auch die Speicherung der Variablen in einem Cookie fällt aus, da das Cookie auf dem Client PC gespeichert wird und dort beliebig bearbeitet werden kann. Die Lösung dieser Problematik sind Sessions. - 3

4 Was sind Sessions? Wofür werden Sessions benötigt? Diese Session-Mechanismen speichern lokale Daten und identifizieren den Client anhand einer eindeutigen ID. Dieser Mechanismus ist nur für dynamische Seiten notwendig, die während eines mehrstufigen Programmablaufs (z.b. einem Online-Einkauf) auf eine Identifikation eines Besuchers angewiesen sind. [2] Funktionsweise einer Session Wie schon in der Einführung festgestellt weiß ein Webserver nach dem ausliefert der Daten nichts mehr über den Client. Es ist also kein eindeutiges Identifizierungsmerkmal für den Client vorhanden. Aus diesem Grund wurden Webserver um ein Session- Management erweitert. [2] An dieser Stelle sei erwähnt, dass die Formulierung Aus diesem Grund wurden Webserver um ein Session-Management erweitert etwas unglücklich gewählt ist. Tatsächlich erweitern nämlich die Programmiersprachen PHP oder ASP den Webserver um ein Session-Management. PHP speichert in einem Verzeichnis eine Datei (es wäre auch Datenbank basiert möglich) die z.b. so heißt: sess_9df3fa20729ac23f427ea5a5d048dca6 Auf dem Client wird ein Cookie gespeichert das die Session ID enthält. Es gibt zwei Methoden, eine Session-ID zu übermitteln: Cookies URL Parameter Das Session-Modul unterstützt beide Methoden. Cookies sind optimal, aber da sie nicht immer zur Verfügung stehen, bieten wir auch noch eine Alternative an. Die zweite Methode hängt die Session-ID direkt an die URLs. [3] Abbildung 1: Informationen in einem PHP-Session-Cookie Die Datei auf dem Webserver ist eine Textdatei. Diese enthält die Daten (Variablen) in folgender - serialisierter Form: variablenname typ[:länge:][]wert[]; variablenname: typ: länge: wert: Der Name der Session Variable a = array d = double i = integer o = object s = string Die Länge des Strings, Größe des Arrays, Größe des Objekts Der Wert der Variablen - 4

5 Nach einer serverseitig konfigurierbaren Zeit verliert die Session ihre Gültigkeit und wird gelöscht. (Inklusive der Textdatei oder dem Datensatz) Vorteile: Session Variablen können nicht ohne weiteres verändert werden. Die Daten werden auf dem Server gespeichert daher ist die Leistungsfähigkeit des Clients unbedeutend Nachteile: Sessions können über das so genannte Session Hijacking übernommen werden Bei Anwendungen die eine große Datenmenge in der Session speichern, können bei vielen Anfragen die Server schneller an ihre Festplattenkapizitäts- und/oder Leistungsgrenze gelangen Umsetzung Starten einer Session Eine Session wir über die Funktion session_start() initialisiert. session_start() erzeugt eine Session oder nimmt die aktuelle wieder auf, die auf der Session-ID basiert, die mit einer Anfrage, z.b. durch GET, POST oder ein Cookie, übermittelt wurde. [4] Diese Session ist dann für diesen Server gültig. Wechselt die IP Adresse während der Session muss die Session-ID an den neuen Server übergeben werden und der neue Server muss Zugriff auf die Sessions des alten Servers haben, damit z.b. bei SSL Verschlüsslung beim Bezahlvorgang eines Onlineshops die Session zurückgeholt werden kann. Starten einer Session an einem Beispiel: //test1.php session_start(); // SESSION Initialisieren Anlegen einer Variablen Seit PHP steht $_SESSION genau wie $_POST, $_GET, $_REQUEST und so weiter, als globale Variable zur Verfügung. Im Gegensatz zu $HTTP_SESSION_VARS ist $_SESSION immer global. Deshalb brauchen Sie für $_SESSION nicht das Schlüsselwort global zu verwenden. Bitte beachten Sie, dass in dieser Dokumentation nun überall $_SESSION verwendet wird. Sie können $_SESSION durch $HTTP_SESSION_VARS ersetzen, wenn Sie Letzteres bevorzugen. Beachten Sie auch, dass Sie Ihre Session mit session_start() starten müssen, bevor die Verwendung von $_SESSION zur Verfügung steht. Für die Schlüssel des assoziativen $_SESSION-Arrays gelten die selben Beschränkungen, wie für die Bezeichnungen von regulären Variablen in PHP, d.h. sie dürfen nicht mit einer Zahl, sondern müssen mit einem Buchstaben oder Unterstrich beginnen.[3] - 5

6 Starten einer Session und speichern eines Wertes in der Session Variablen: //test1.php erweitert session_start(); // SESSION Initialisieren $_SESSION['testvariable'] = 'Testwert '; // Benutzen der gloablen Variable // $_SESSION Auslesen der Session Um eine vorher angelegte Session wieder zu Initialisieren reicht sessions_start(); am Anfang des PHP Skripts vor jeglicher Ausgabe vollkommen aus. Danach steht in der globalen Variable $_SESSION alle Variablen der Session zur Verfügung. //test2.php session_start(); echo $_SESSION['testvariable']; // Ausgabe: Testwert Obwohl wir keine Werte per GET oder POST übergeben haben ist auf test2.php nach session_start() in $_SESSION['testvariable'] der Wert Testwert enthalten. Übergeben und auslesen von Objekten in eine Session Für dieses Beispiel gehen wir von einer Benutzer Klasse aus die in der Lage ist Formulardaten (Benutzername & Passwort) überprüfen kann und den Erfolg sowie den Benutzernamen in einem Attribut speichert. In diesem Beispiel setze ich PHP 5 voraus, da nur PHP 5 eine halbwegs anständige Objektorientierung besitzt. (in PHP 4 gibt es keine Destruktoren) Abbildung 2: UML Klassendiagramm der Klasse c_user - 6

7 // user.class.php session_start(); class c_user var $logged_in; var $username; function construct () //Konstruktor if($_session['ship']!= '') $ship = $_SESSION['ship']; $this->fill_it($ship); function destruct () //Destruktor $_SESSION['ship'] = $this->ship_it(); /** * Gibt die Werte der Variablen der Klasse User an die Session weiter. * */ function ship_it() $ship = serialize($this); $ship = addslashes($ship); return $ship; /** * Füllt die Variablen der Klasse User mit den Werten aus der * Session. */ function fill_it($ship) $ship = stripslashes($ship); $thiz = unserialize($ship); $ro = new reflectionobject($thiz); foreach ($ro->getproperties() as $propobj) $this->$propobj->name = $thiz->$propobj->name; //[8] function is_logged_in() return $this->logged_in; function login($username, $password) //denkbar wäre hier natürlich auch ein SQL Statement um //Benutzername und Passwort aus der Datenbank zu holen $fix_passwort = '$1$CBzMdDbr$Fo16OqI5Jjvw1CZvm6btU.'; //MD5 // Hash für beethoven - 7

8 $fix_user = 'test'; if($username == $fix_user) if(crypt($password,$fix_passwort)==$fix_passwort) $this->logged_in = true; //eingeloggt $this->username = $username; //username speichern return true; //login ok zurückgeben $this->logged_in = false; $this->username = ''; return false; //login false zurückgeben function logout() $this->username = ''; $this->logged_in = false; session_destroy(); Damit wird die User Klasse auch anständig testen können schreiben wir noch schnell eine login.php sowie eine index.php die entsprechend die Funktionsweise der User Klasse demonstriert. //login.php require_once('user.class.php'); $user = new c_user(); $action = $_POST['action']; if($user->is_logged_in()) header('location:index.php'); header('status:301'); if($action == 'send') $username = $_POST['benutzername']; $password = $_POST['passwort']; //Überprüfung der Variablen auf Typ und Gültigkeit der Über- //sichtlichkeit wegen weggelassen. if($user->login($username,$password)) header('location:index.php'); header('status:301'); else echo 'Benutzername und/oder Passwort ungültig<br><br>'; <form method="post"> - 8

9 Benutzername: <input type="text" name="benutzername"><br> Password: <input type="password" name="passwort"><br> <input type="hidden" name="action" value="send"> <input type="submit" value="login"> </form> //index.php require_once('user.class.php'); $user = new c_user(); if(!$user->is_logged_in()) header('location:login.php'); header('status:301'); else $action = $_POST['action']; if($action == 'logout') $user->logout(); header('location:login.php'); header('status:301'); die(); echo 'Herzlich Willkommen im Login Bereich Benutzer: '; echo $user->username.'!<br><br>'; <form method="post"> <input type="submit" value="logout"> <input type="hidden" name="action" value="logout"> </form> <? In PHP 4 war die fill_it() Methode viel kürzer, da man schreiben durfte: $this = unserialize($ship); Leider ist das in PHP 5 nicht mehr zulässig, da $this nicht mehr komplett sondern nur noch einzeln überschrieben werden darf. Beenden einer Session Um eine Session zu beenden sind mehrere Schritte erforderlich. Da die Dokumentation von an dieser Stelle sehr ausführlich ist will ich das Beispiel und die Erklärungen von dort übernehmen: session_destroy() löscht alle in Verbindung mit der aktuellen Session stehenden Daten. Mit der Session zusammenhängende globale Variablen und das Session-Cookie werden nicht gelöscht. Um die Session komplett zu löschen, z.b. um einen Benutzer auszuloggen, muss auch die Session-ID gelöscht werden. Wenn zum Verfolgen der Session ein Cookie benutzt wird (standardmäßige Einstellung), muss das Session-Cookie gelöscht werden. Dafür kann setcookie() verwendet werden. // Initialisierung der Session. - 9

10 // Wenn Sie session_name("irgendwas") verwenden, vergessen Sie es // jetzt nicht! session_start(); // Löschen aller Session-Variablen. $_SESSION = array(); // Falls die Session gelöscht werden soll, löschen Sie auch das // Session-Cookie. // Achtung: Damit wird die Session gelöscht, nicht nur die Session-Daten! if (isset($_cookie[session_name()])) setcookie(session_name(), '', time()-42000, '/'); // Zum Schluß, löschen der Session. session_destroy(); [5] Anmerkung: hier wird das Cookie auf dem Client PC gelöscht nicht die Session Textdatei auf dem Web-Server. Sicherheit Sind Sessions sicher? Dazu möchte ich Bruce Schneier zitieren: Sicherheit ist ein Prozess und kein Produkt [6] Vollkommene Sicherheit existiert nicht. Jedes Passwort ist knackbar und jeden Sicherheitsmechanismus kann man umgehen. Der entscheidende ist der Kosten/Nutzen Faktor. Wenn ich wenig Aufwand betreiben muss um ein Passwort zu erraten, da es nur ein vierstelliges ist, werde ich diese kurze Rechenzeit von weniger als 5 Minuten bei ( Passwörtern die Sekunde und 80 möglichen Zeichen) leicht erübrigen können. Ist das Passwort allerdings 9stellig werde ich wahrscheinlich kein Interesse daran haben dafür meinen Rechner mehrere Jahrzehnte laufen zu lassen. Daher muss ich als verantwortungsvoller Apache / PHP Administrator / Entwickler versuchen möglichst gründlich zu konfigurieren / entwickeln. Immer wenn Informationen nicht direkt vom Server verarbeitet werden, wir uns aber auf Daten von extern verlassen müssen, ist dies mit einem Sicherheitsrisiko verbunden. Mögliche Angriffe Ich kann es den Skript-Kiddies natürlich recht leicht machen indem ich möglichst nachlässig Programmiere und das System schlampig konfiguriere. Welche Arten von Angriffen auf eine Session gibt es eigentlich? Angriffsarten: Session Bruteforcing Session Hijacking Session Fixation Es gibt 2 verschiedene Arten von Session Systemen. Permissive oder strikte Session Systeme. Permissiv bedeutet erlaubend oder freizügig, und genau da liegt auch schon das Problem. Jeder bekommt eine gültige Session-ID. Falls eine vom Client übermittelte Session-ID noch nicht existiert, wird diese auf dem Server angelegt. Das bedeutet, ein Benutzer kann sich eine Session-ID ausdenken und diese an den Server - 10

11 übermitteln. Wenn dieser die ID akzeptiert und die Session-Datei auf dem Server anlegt, handelt es sich um ein permissives Session-System, da beim Entwurf der Session- Unterstützung Wert auf größtmögliche Flexibilität gelegt wurde. Der Einbau von Restriktionen wird in PHP auf den Benutzer abgewälzt. Würde es sich um ein striktes System handeln, würde diese Session-ID verworfen und durch eine von der Skriptsprache erzeugte ID ersetzt werden. Ein permissives Session- System ist für Angriffe wie Session Riding, also das Ausführen von Aktionen unter fremden Sessions, und auch Phising, wesentlich anfälliger als ein restriktives. PHP implementiert das permissive Session-Modell.[7] Session Bruteforcing: Ähnlich wie bei einer Bruceforce Attacke auf ein Passwort wird versucht eine gütlige Session ID herauszufinden. Liegt der Generierung der Session ID ein zu nachlässiger Algorithmus zugrunde kann Session Bruteforcing eine effektive Methode sein um eine Session zu übernehmen. (Besonders ärgerlich für Entwickler, die sich Mühe geben, dass die Benutzer der PHP Software keine zu kurzen Passwörter benutzen und dann wird dieser Mechanismus einfach durch Session Bruteforcing umgangen) Session Hijacking: Nachdem ich eine gültige Session ID herausgefunden habe übergebe ich per GET einfach die Session ID und bin jetzt Benutzer xyz der sich bereits am System angemeldet hat. Session Fixation: Ein Hacker liefert einem unerfahrenen Anwender einen Link mit einer Session ID z.b. Der Anwender meldet sich an und somit kann der Hacker ohne weiteres mit dem Session Hijacking die Session übernehmen, da die Session gültig ist (PHP hat permissives Session- Managementsystem). Daher sollten folgende Maßnahmen im Hinblick auf Session Management ergriffen werden: Einen ausgereiften Algorithmus der mir viele verschiedenen Session IDs generiert. Session Timeouts: Nach einer bestimmten Zeit (ca Minuten) läuft die Session aus und ich muss mich erneut anmelden. Bei einem Onlineshop ist es sinnvoll beim Bezahlvorgang eine erneute Authentifizierung zu verlangen. (siehe Amazon) Die Session-ID nie via GET übergeben noch erlauben, dass Clients die Cookies verbieten die Session ID an die URL anhängen (siehe GET Manipulation weiter oben) Die Session-ID in Formulardaten transportieren (siehe POST Manipulation weiter oben) Bei den letzten Beiden Maßnahmen würde auch das abhören des Netzwerkverkehrs zum erfolgreichen Session Hijacking führen. - 11

12 Quellenverzeichnis [1] Kofler, Michael; Öggl, Bernd: PHP 5 & MySQL 5 Grundlagen, Programmiertechniken, Beispiele. Addison-Wesley. München 1. Auflage 2005, Seite 182 [2] Kunz, Christopher; Esser, Stefan; Prochaska, Peter: PHP-Sicherheit PHP/MySQL- Webanwendungen sicher programmieren. dpunkt.verlag. Heidelberg 2., aktualisierte und überarbeitete Auflage 2007, Seite 161 [3] PHP Funktionsreferenz, [4] PHP Funktionsreferenz, [5] PHP Funktionsreferenz, [6] Schneier, Bruce: Secrets & Lies, IT-Sicherheit in einer vernetzen Welt. dpunkt.verlag, WILEY-VCH. Heidelberg, Weinheim 2004, Seite x [7] Kunz, Christopher; Esser, Stefan; Prochaska, Peter: PHP-Sicherheit PHP/MySQL- Webanwendungen sicher programmieren. dpunkt.verlag. Heidelberg 2., aktualisierte und überarbeitete Auflage 2007, Seite 163 [8] Danke an meinen Arbeitskollegen Marcus Kremser (ronet GmbH) für die Hilfe - 12