Session Management und Cookies



Ähnliche Dokumente
Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Sicherheit in Webanwendungen CrossSite, Session und SQL

Schwachstellenanalyse 2012

Man liest sich: POP3/IMAP

Überblick. Netzprogrammierung 7b. Zustand in Web Anwendungen. Zustand in HTTP HTTP ist zustandslos Zwei Interaktionen sind unabhängig voneinander

Sessions mit PHP. Annabell Langs Sessions in PHP - Annabell Langs 1

Beheben von verlorenen Verknüpfungen

meine-homematic.de Benutzerhandbuch

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

Wie funktioniert das WWW? Sicher im WWW

RIGGTEK. Dissolution Test Systems. DissoPrep Browser-Interface

Online-News Ausgabe 12, Juli 2000 Seite 56

WLAN am Campus Lichtenberg der HWR Berlin

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

> Mozilla Firefox 3. Browsereinstellungen optimieren. Übersicht. Stand Juli Seite. Inhalt. 1. Cache und Cookies löschen

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Guide DynDNS und Portforwarding

SAMMEL DEINE IDENTITÄTEN::: NINA FRANK :: :: WINTERSEMESTER 08 09

Dokumentation für Windows

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

Online-Prüfungs-ABC. ABC Vertriebsberatung GmbH Bahnhofstraße Neckargemünd

Root-Server für anspruchsvolle Lösungen

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Internet online Update (Mozilla Firefox)

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

1 Konto neu in Mailprogramm einrichten

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

PIXMA MG3500. series. Einrichtungshandbuch

Kommunikations-Parameter

Schritt für Schritt Hilfe Neufahrzeugkonfigurator

HSR git und subversion HowTo

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Datenbank-basierte Webserver

Streamingserver - Aufzeichnung einer Lehrveranstaltung Ablauf

Weiterleitung einrichten für eine GMX- -Adresse

Internet online Update (Internet Explorer)

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

> Mozilla Firefox 3.5

Internationales Altkatholisches Laienforum

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Schwachstellenanalyse 2013

Migration Howto. Inhaltsverzeichnis

AlwinPro Care Modul Schnittstelle TV-Steuerung

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

2. Word-Dokumente verwalten

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Funktionsbeschreibung. Lieferantenbewertung. von IT Consulting Kauka GmbH

Anleitung OpenCms 8 Inhaltstyp Kommentare

FL1 Hosting Technische Informationen

Schrittweise Anleitung zur Installation von Zertifikaten der Bayerischen Versorgungskammer im Mozilla Firefox ab Version 2.0

Lehrer: Einschreibemethoden

Adressen der BA Leipzig

Gefahren aus dem Internet 1 Grundwissen April 2010

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Shellfire PPTP Setup Windows 7

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Local Control Network


Step by Step Webserver unter Windows Server von Christian Bartl

Der erstmalige Besuch (Neuregistrierung)

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

Firewalls für Lexware Info Service konfigurieren

ESB - Elektronischer Service Bericht

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

SIZ Modul 221: Outlook und Internetdienste

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Übung - Datenmigration in Windows 7

Password Depot für ios

e-books aus der EBL-Datenbank

Firewalls für Lexware Info Service konfigurieren

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Anleitung für die Formularbearbeitung

Konvertieren von Settingsdateien

Benutzeranleitung Web Login (Internetzugang an Öffentlichen Datendosen und in Studentenwohnheimen )

Synchronisations- Assistent

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Bitte beachten Sie die Installations-/Systemvoraussetzungen und freigegebenen Betriebssysteme.

SFirm32 Umstellung FTAM EBICS

Anleitung Grundsetup C3 Mail & SMS Gateway V

XT Großhandelsangebote

MUSIK IN DIE TELEKOMCLOUD AUFNEHMEN UND JEDERZEIT ABSPIELEN

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

Benutzerhandbuch MedHQ-App

INSTALLATIONSANLEITUNG

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

OP-LOG

Den Fehler session error bei der Kalenderanmeldung beheben:

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Internet Explorer Version 6

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

Änderung des Portals zur MesseCard-Abrechnung

Transkript:

LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1

Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss eine neue Verbindung aufgebaut werden Server kann keinen Zusammenhang zwischen verschiedenen Anfragen herstellen IP-Adresse zur Identifizierung ist nicht zuverlässig (Proxy, Router) 2

Session Management Ziel: Identifizierung eines Users über mehrere Seitenaufrufe hinweg Lösung: Verwendung einer Session ID 1. Beim Start der Session wird eine eindeutige Session ID erzeugt 2. Die Session ID wird in der Antwort auf die Anfrage mitgeschickt 3. Bei jeder weiteren Anfrage wird die Session ID wieder an den Server geschickt Die Daten der Session werden auf dem Server zur jeweiligen Session ID gespeichert Methoden zur Speicherung: Filesystem, Speicher oder Datenbank 3

Session ID Session ID ist ein String: b3ecbc1d1e6a6a4e5724ab140ec63374 Eine Session ID muss folgende Anforderungen erfüllen: nicht vorhersehbar nicht reproduzierbar ausreichende Länge Drei Methoden zur Übertragung: URL Parameter: http://www.example.com/article.php?id=1&sessionid=12345678 Formularfelder: <input type="hidden" name="sessionid" value="12345678" /> Cookies Cookies sind die sicherste und transparenteste Methode 4

Cookies Bestandteil des HTTP Protokolls: Response Header: Set-Cookie: sessionid=12345678; expires=mon, 09-Jan-2005 08:00:00 GMT; max-age=86400; path=/; domain=.example.com; version="1"; Request Header: Cookie: sessionid=12345678; $path=/; $version="1"; Persistent Cookies: haben Ablaufdatum, gespeichert auf der Festplatte des Users Session Cookies: werden beim Schließen des Browsers gelöscht, befinden sich nur im Speicher des Users Gegen die Verwendung von Cookies spricht: schlechter Ruf, ungenaue Identifizierung, Privatsphäre, Anonymität, Werbung Cookies stellen kein Sicherheitsrisiko dar 5

Authentifizierung Sessions werden oft zur Authentifizierung verwendet Die Session ID dient dann als Zugangsberechtigung Oft werden keine weiteren Maßnahmen getroffen um die Rechte eines Users zu prüfen Session IDs sind deswegen ein beliebtes Angriffsziel 6

Gefahren Interception: Abfangen der Session ID HTTPS Prediction: Vorhersage der Session ID guter Generator Brute-Force: Berechnung der Session ID lange Session ID Session Fixation: vorherige Erzeugung der Session ID Session Hijacking: (versehentliche) Preisgabe der Session ID Zuständigkeit: Webserver: Interception, Prediction und Brute-Force Webapplikation: Session Fixation und Session Hijacking 7

Session Fixation und Session Hijacking Zeitpunkt Dauer des Zugangs Aufrechterhaltung Ausgenutzte Schwachstellten Bereiche für einen Angriff Session Fixation Attacke vor dem Login einmalig, temporär oder langfristig evtl. nötig bis zum Login XSS (Domain), Meta Tag (Domain), Link, Formular, Session Adoption, Server (Domain), DNS Server, Netzwerkverkehr Netzwerkverbindung, alle Webserver in der Domain, DNS Server Session Hijacking Attacke nach dem Login normalerweise einmalig keine Aufrechterhaltung XSS, HTTP Referer, Netzwerkverkehr Netzwerkverbindung, Webserver 8

Gegenmaßnahmen allgemein XSS verhindern Session ID an IP-Adresse und Daten im Header binden Session ID an das SSL Zertifikat des Users binden Timeouts für Session IDs verwenden Session ID nach Logout oder Timeout auch auf dem Server löschen Vor wichtigen Aktionen noch mal die nötigen Rechte prüfen Keine Remember me Funktion verwenden In Shared-Hosting-Umgebungen Session IDs nicht in einem gemeinsamen Ordner speichern 9

Gegenmaßnahmen zu Session Fixation Die Session erst nach erfolgreichem Login starten Session IDs von Usern vor dem Login ignorieren Session ID bei jedem Login erneut erzeugen Session ID in Intervallen erneut erzeugen Falls keine gültige Session ID vorhanden ist den User als nicht eingeloggt behandeln 10

Fazit Wenn Sessions zur Authentifizierung verwendet werden müssen innerhalb der Webapplikation Maßnahmen gegen einen Missbrauch der Session ID getroffen werden Vor sensiblen Aktionen sollte immer eine erneute Authentifizierung durchgeführt werden Der Grad der Sicherheit muss im Einklang mit dem Risiko eines Einbruchs und der gewünschten Usability der Webapplikation sein 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback