Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comp.os.unix.linux.misc > #121226
| From | Arno Welzel <usenet@arnowelzel.de> |
|---|---|
| Newsgroups | de.comp.os.unix.linux.misc |
| Subject | Re: Sonderzeichen in Skripten |
| Date | 2022-02-10 17:35 +0100 |
| Message-ID | <j6kt6bF2un5U1@mid.individual.net> (permalink) |
| References | (5 earlier) <83fsow6cs2.fsf@helmutwaitzmann.news.arcor.de> <j6hsmlFfobfU1@mid.individual.net> <j6hvgoFgac6U1@mid.individual.net> <j6i28rFgqmmU1@mid.individual.net> <j6i40sFh4q9U1@mid.individual.net> |
Hermann Riemann: [...] > Sessions Informationen mit JavaScript kann man auch über cgi-Information > ( hinter ? nach url ) weitergeben. Ähm - nein, sowas will man garantiert haben! Ich will ganz sicher keine Session-IDs in der Browser-Historie mitschleifen. > Und dann gibt es noch die IP-Nummer, die an den server weitergegeben wird. Die "IP-Nummer" ist hier die Adresse des Routers, der im LAN lokale IP-Adressen verteilt und den Internetzugang via NAT bereitstellt. Dahinter sind dann mehrere Personen mit ihren Computern. Welcher von denen ist nun die "IP-Nummer", die beim Server ankommt? >> Und ja, man >> kann das so absichern, dass ein Angreifer nicht alleine durch Senden des >> richtigen Cookies in den Account kommt. > > Es sei denn, der Angreifer liest ( über Dateizugriff?) cookies aus. Nein, der Cookie alleine reicht eben nicht, wenn eine Web-Anwendung entsprechend gebaut ist. Selbst wenn der Angreifer den Cookies auslesen kann, genügt das eben nicht. Als minimale Absicherung kann man die IP-Adresse heranziehen - das Cookie wird dann nur akzeptiert, wenn es von der IP-Adresse kommt, für die es ursprünglich erstellt wurde. Dann hätte der Angreifer nur eine Chance, wenn er zusammen mit dem Opfer hinter der selben geNATeten IP-Adresse sitzt. Darüber hinaus könnte man mit dem bösen JavaScript zusätzlich DOM-Storage nutzen oder man setzt nicht nur einen Cookie sondern zusätzliche Cookies, die sich regelmäßig ändern und als eine Art one-time-token genutzt werden und nur einmal verwendet werden können. Möglichkeiten gibt es viele. -- Arno Welzel https://arnowelzel.de
Back to de.comp.os.unix.linux.misc | Previous | Next — Previous in thread | Next in thread | Find similar | Unroll thread
Sonderzeichen in Skripten Albrecht Mehl <unvalid@invalid.invalid> - 2022-01-24 15:32 +0100
Re: Sonderzeichen in Skripten Marco Moock <mo01@posteo.de> - 2022-01-24 15:51 +0100
Re: Sonderzeichen in Skripten Helmut Waitzmann <nn.throttle@xoxy.net> - 2022-01-25 23:05 +0100
Re: Sonderzeichen in Skripten Hermann Riemann <nospam.ng@hermann-riemann.de> - 2022-01-26 10:48 +0100
Re: Sonderzeichen in Skripten Stefan Reuther <stefan.news@arcor.de> - 2022-01-26 18:19 +0100
Re: Sonderzeichen in Skripten Andreas Kohlbach <ank@spamfence.net> - 2022-01-26 15:35 -0500
Re: Sonderzeichen in Skripten Helmut Waitzmann <nn.throttle@xoxy.net> - 2022-02-01 23:44 +0100
Re: Sonderzeichen in Skripten Stefan Reuther <stefan.news@arcor.de> - 2022-02-03 17:29 +0100
Re: Sonderzeichen in Skripten Helmut Waitzmann <nn.throttle@xoxy.net> - 2022-02-06 01:48 +0100
Re: Sonderzeichen in Skripten Arno Welzel <usenet@arnowelzel.de> - 2022-02-09 14:08 +0100
Re: Sonderzeichen in Skripten Hermann Riemann <nospam.ng@hermann-riemann.de> - 2022-02-09 14:56 +0100
Re: Sonderzeichen in Skripten Arno Welzel <usenet@arnowelzel.de> - 2022-02-09 15:43 +0100
Re: Sonderzeichen in Skripten Hermann Riemann <nospam.ng@hermann-riemann.de> - 2022-02-09 16:13 +0100
Re: Sonderzeichen in Skripten Arno Welzel <usenet@arnowelzel.de> - 2022-02-10 17:35 +0100
Re: Sonderzeichen in Skripten Marcus Jodorf <trap@killfile.de> - 2022-02-11 17:08 +0100
Re: Sonderzeichen in Skripten Arno Welzel <usenet@arnowelzel.de> - 2022-02-12 11:04 +0100
Re: Sonderzeichen in Skripten Albrecht Mehl <unvalid@invalid.invalid> - 2022-02-12 14:21 +0100
Re: Sonderzeichen in Skripten Martin Schnitkemper <news.trash.5.mschnitk@spamgourmet.com> - 2022-02-12 23:36 +0100
Re: Sonderzeichen in Skripten Arno Welzel <usenet@arnowelzel.de> - 2022-02-13 11:16 +0100
Re: Sonderzeichen in Skripten Michael Schütz <der.schultze@web.de> - 2022-01-27 07:17 +0100
Re: Sonderzeichen in Skripten Dr Eberhard W Lisse <nospam@lisse.NA> - 2022-01-30 23:53 +0200
Re: Sonderzeichen in Skripten JJenssen <joemajen@arcor.de> - 2022-01-31 11:18 +0100
csiph-web