multiple session-Persoenlichkeit

20/07/2015 - 21:56 von Stefan+Usenet | Report spam
Ich hatte da heute eine sehr seltsame Bug-Meldung, von der ich nicht
so recht weiss, was ich damit anfangen soll und ob sie überhaupt
hier richtig aufgehoben ist.

Ein User verwendet zwei unterschiedliche Session-IDs, um auf die
gleiche Seite zuzugreifen. Das schlàgt natürlich fehl: mit einer
Session (A) meldet er sich am System an, beim ersten Wechsel auf B
fliegt er raus. Bei der folgenden Anmeldung wechselt der Browser
konsequent wieder mit A an, wenige (oft nur eine oder zwei) Seiten
spàter wechselt er wieder auf B - neuerlicher Abflug.

Der User kam die ganze Zeit von der gleichen IP-Adresse und hat den
gleichen Browser verwendet. Mehr noch: nach einem Wechsel von PC auf
Laptop hat sich das Spiel nahtlos fortgesetzt, und zwar immer noch
mit den *selben* *beiden* Session-IDs wie zuvor, trotz völlig
anderem Rechner.

Ursprünglich hatte ich ja den Browser in Verdacht, aber wenn der
Effekt inkl. der IDs einen Rechnerwechsel überlebt, mag ich nicht so
recht daran glauben.

Was andererseits die Applikation betrifft: ich habe extra
nachgesehen, es gibt genau *eine* Stelle, wo session_id() mit
Argument aufgerufen wird, und da ist das Argument "sha1(rand())".
Ein versehentlicher Wechsel auf eine andere, nicht mehr aktuelle
Session-ID scheint mir daher auf meiner Seite ausgeschlossen zu
sein. Dazu kommt, dass nur genau dieser eine User das beschriebene
Problem hat, der dafür aber konsequent seit ein paar Tagen.

Wer oder was könnte noch an so einem Verhalten schuld sein?

Servus,
Stefan

http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Die letzte Steigerungsform von "super"! Stefan, wenn Mobbing dich nervt!
(Sloganizer)
 

Lesen sie die antworten

#1 Christoph M. Becker
21/07/2015 - 00:12 | Warnen spam
Stefan Froehlich schrieb:

Ein User verwendet zwei unterschiedliche Session-IDs, um auf die
gleiche Seite zuzugreifen. Das schlàgt natürlich fehl: mit einer
Session (A) meldet er sich am System an, beim ersten Wechsel auf B
fliegt er raus. Bei der folgenden Anmeldung wechselt der Browser
konsequent wieder mit A an, wenige (oft nur eine oder zwei) Seiten
spàter wechselt er wieder auf B - neuerlicher Abflug.

Der User kam die ganze Zeit von der gleichen IP-Adresse und hat den
gleichen Browser verwendet. Mehr noch: nach einem Wechsel von PC auf
Laptop hat sich das Spiel nahtlos fortgesetzt, und zwar immer noch
mit den *selben* *beiden* Session-IDs wie zuvor, trotz völlig
anderem Rechner.



Das klingt mir danach, dass die Session-ID per URL propagiert wird. Wie
sieht es denn aus, wenn das unterbunden wird?

Was andererseits die Applikation betrifft: ich habe extra
nachgesehen, es gibt genau *eine* Stelle, wo session_id() mit
Argument aufgerufen wird, und da ist das Argument "sha1(rand())".



Das scheint mir keine glückliche Lösung. rand() ist nicht zufàllig
genug, und der Wertebereich doch eher bescheiden (2**31). Wenn die
Session, wie Du oben erwàhnt hast, auch für Anmeldeinformation genutzt
wird, dann halte ich das für eine Sicherheitsschwachstelle.

Christoph M. Becker

Ähnliche fragen