Server-StatusSicherheit bei Lima-City
lima-city: free Hosting → Forum → Wünsche und Vorschläge zu lima-city → Abgelehnte Themen
angreifer
benutzer
bequemlichkeit
daten
deutschland
gruss
login
lord
luecke
mache
monat
paar handgriffen
schlecht gruß
session
sicherheit
sinnen
skript
stellen
versuch
vorschlag
-
Hallo zusammen,
nachdem wir ja gestern einige Probleme mit geklauten Sessions hatten und sicherlich auch schon die Möglichkeit Scripts an dieser Stelle einzuschleusen unterbunden wurde, möchte ich trotzdem dieses Thema nochmal aufgreifen.
Eine dauerhafte Session wird angelegt, damit ein Benutzer sich bei Benutzung seines Browsers nicht nochmal anmelden muss, aber trotzdem die Seite nutzen kann. Somit wird normalerweise ein Cookie auf Client-Seite hinterlegt und auf Server-Seite wird die Session-ID gespeichert über die der Benutzer wieder zugeordnet werden kann. Diese Session-ID wurde nun gestern geklaut und somit war es möglich von einem anderen PC aus auf die Seite zuzugreifen. (ich gehe dabei davon aus, dass nur die Session-ID zum Abgleich genommen wird)
Mein Vorschlag an dieser Stelle ist, dass nicht nur die Session-ID verglichen wird, sondern auch weitere über $_SERVER verfügbare Informationen. Normale Nutzer werden nur über einen Browser ins Netz gehen und deshalb könnten zum Beispiel die Browserdaten als weitere Verifikation genutzt und auf Server-Seite gespeichert werden.
Der Browser wäre nur ein Merkmal. Denkbar wäre hier auch das OS, die Sprache und basierend auf der IP-Adresse eine Regionsabfrage (der Benutzer greift aus Deutschland, USA, Indien etc. auf die Seite zu). Evtl. fallen euch ja noch mehr Vergleichsmöglichkeiten ein.
Was haltet ihr von diesem Vorschlag? Dadurch müsste nicht nur die Session-ID übernommen, sondern auch eine Menge anderer Informationen simuliert werden.
Außerdem könnte es Sinn machen einmal am Tag (beim ersten Zugriff auf die Seite) dem Benutzer eine neue Session-ID zuzuweisen. Somit wäre selbst bei übernommener ID der Zugriff auf maximal 24 Stunden begrenzt. (ob ein kürzerer Zeitraum Sinn macht, bleibt hier dem Team überlassen)
Gruß
Karlja -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Sicherheit ist auf jeden Fall ein wichtiger Aspekt, aber wenn man all das umsetzen würde, was du hier vorschlägst, dann würde ich auf jeden Fall mich jedes Mal neu einloggen müssen, auch wenn ich das nicht wollte. Ich mache es derzeit absichtlich, aber wenn ich es mal nicht wollte, ginge es durch deine Vorschläge zumindest nicht mehr so einfach.
1. Ich benutze verschiedene Browser, um auf lima zu surfen.
2. Leute mit Laptop und Desktop müssten sich immer neu anmelden, wenn sie Maschine wechseln.
3. Ich weiß nicht, wie genau die Regionsabfrage ist, aber ich kenne auf jeden Fall 2 Benutzer, die gerne mal in Deutschland umherreisen.
Also Sicherheit ist zwar wichtig, aber man kann es auch irgendwo imho übertreiben. Es war jetzt eine Lücke durch das neue System entstanden. Davor gab es lange keinen ernsten Hackangriff auf lima. Ich denke, dass der Lord in Absprache mit Programmierkundigen einen guten Mittelweg finden wird, sollte weiterhin Bedarf danach vorhanden sein. -
Sicherheit ist auf jeden Fall ein wichtiger Aspekt, aber wenn man all das umsetzen würde, was du hier vorschlägst, dann würde ich auf jeden Fall mich jedes Mal neu einloggen müssen, auch wenn ich das nicht wollte. Ich mache es derzeit absichtlich, aber wenn ich es mal nicht wollte, ginge es durch deine Vorschläge zumindest nicht mehr so einfach.
1. Ich benutze verschiedene Browser, um auf lima zu surfen.
2. Leute mit Laptop und Desktop müssten sich immer neu anmelden, wenn sie Maschine wechseln.
3. Ich weiß nicht, wie genau die Regionsabfrage ist, aber ich kenne auf jeden Fall 2 Benutzer, die gerne mal in Deutschland umherreisen.
Also Sicherheit ist zwar wichtig, aber man kann es auch irgendwo imho übertreiben. Es war jetzt eine Lücke durch das neue System entstanden. Davor gab es lange keinen ernsten Hackangriff auf lima. Ich denke, dass der Lord in Absprache mit Programmierkundigen einen guten Mittelweg finden wird, sollte weiterhin Bedarf danach vorhanden sein.
Übernimmst du dann die Cookies von einem Browser in den anderen oder hättest du dann zwei aktive Sessions hier? Bei zwei aktiven Sessions spricht nichts gegen eine Browser/OS-Abfrage, da diese Werte dann ja je nach Session unterschiedlich sein können... -
14:21, 29.12.2008
Prinzessin
30304 Gulden
Webspace unbegrenzt
kalinawalsjakoff besitzt 4 kostenlose Domains
Ich weiß nicht wie es um eure Bequemlichkeit bestellt ist, aber mir währe es persönlich auch recht, daß diesen einmonatigen automatischen Login wegfallen lassen. Zumindestens nehme ich mal stark an, daß jeder seinen Username samt Passwort im Kopf hat oder sich das zumindestens irgendwo aufgeschrieben hat.
MFG Kalina -
also ich hatte meen PW nur im E-Mail Fach. Im Kopf nicht :D
habs aber wegen gestern geändert, also von mir aus kann die1 Monat login Fnktion auch wegfalle.
*Unterstütz*
-
Im übrigen können sich die meisten modernen Browser Passwörter merken :D
Sie tragen diese sogar in die dazugehörigen Felder ein
Ein klick und ich bin eingeloggt, ohne irgendwelche Cookies für Monate aufheben zu müssen.
Grüße dapizzafressa
Beitrag geändert: 29.12.2008 14:34:19 von dapizzafressa -
Meine Idee war nicht, diesen Monatslogin aufzuheben, sondern ihn sicherer zu gestalten und das sollte mit ein paar Handgriffen möglich sein, ohne dass der User davon etwas mitbekommt/en muss. (finde den eigentlich nämlich nicht schlecht)
Gruß
Karlja -
Meine Idee war nicht, diesen Monatslogin aufzuheben, sondern ihn sicherer zu gestalten und das sollte mit ein paar Handgriffen möglich sein, ohne dass der User davon etwas mitbekommt/en muss. (finde den eigentlich nämlich nicht schlecht)
Gruß
Karlja
naja,
weder sessions noch monatslogin waren - wenn ich das richtig sehe - beim aktuellen vorfall das eigentliche problem.
Viel mehr so eine Art Flüchtigkeitsfehler:
Denn es wurde an einer stelle vergessen, html-code so zu chiffrieren, dass er angezeigt statt vom Browser interpretiert wird; Und dadurch wiederrum konnte überhaupt der Cookie für den Monatslogin (was ja wiederum ein anderer als der session-cookie ist) 'geklaut' werden.
gruß -
15:13, 29.12.2008
Prinzessin
30304 Gulden
Webspace unbegrenzt
kalinawalsjakoff besitzt 4 kostenlose Domains
karlja schrieb:
Meine Idee war nicht, diesen Monatslogin aufzuheben, sondern ihn sicherer zu gestalten und das sollte mit ein paar Handgriffen möglich sein, ohne dass der User davon etwas mitbekommt/en muss. (finde den eigentlich nämlich nicht schlecht)
Gruß
Karlja
Schlecht ist der Monatslogin auch nicht. Das hab ich nie behauptet. Gut er fördert die Bequemlichkeit der User. Und Bequemlichkeit läßt sich halt von kriminellen besser ausnutzen als ein System, das von jemanden der Mitdenkt oder die eine oder andere Sache Manuell regelt, genutzt wird. -
*Dafür*
Gestern hats meinen Account gebraten und davor geh ich auf Lima-City und bin auf einmal als ein christof angemeldet
-
Natürlich würde es Sinn machen, wenn man Daten benutzen könnte an die nur Lima ran kommt.
Aber gestern wurde ein externes Java-Skript eingebunden.
Das heisst der Angreifer kennt somit diese Daten auch.
Bei einigen Borwsern kann man genau diese Daten ändern.
Was schwiereiger wird ist die IP zu ändern.
Aber dann würde es nicht mehr den Monats-Login geben.
Also man kann jetzt keine Code mehr einbinden. Somit sollte es diese Problem nicht mehr geben. -
Natürlich würde es Sinn machen, wenn man Daten benutzen könnte an die nur Lima ran kommt.
Aber gestern wurde ein externes Java-Skript eingebunden.
Das heisst der Angreifer kennt somit diese Daten auch.
Bei einigen Borwsern kann man genau diese Daten ändern.
Ja, aber es macht das Übernehmen der Sessions schwieriger, da der Angreifer alle Daten übernehmen und simulieren müsste... => ein bisschen Mehrarbeit, dass ihn evtl. abhält bzw. das Ganze lästiger macht.
Was schwiereiger wird ist die IP zu ändern.
Aber dann würde es nicht mehr den Monats-Login geben.
Oder man nimmt nur die grobe Region der IP, da sich diese Region (also z. B. Deutschland ja nicht so schnell ändern sollte)
Also man kann jetzt keine Code mehr einbinden. Somit sollte es diese Problem nicht mehr geben.
Diese Lücke ist jetzt unterbunden, aber wie schaut es mit möglichen Lücken in der Zukunft aus? Bis vor einigen Jahren war XSS unbekannt. Nun hat wer die Lücke gefunden und sie wird ausgenutzt. Ebenso können auch neue Lücken aufkommen, denen man mit dem Abgleich von ein paar mehr Informationen zuvorkommen kann.
Eine Frage habe ich allerdings noch. Es wurde gestern Abend darum gebeten, dass sich alle ausloggen und für eine Weile nicht mehr einloggen. Wäre es nicht möglich gewesen den Login zu unterbinden und die existierenden Sessions zu löschen. Das in Kombination mit einem Hinweis auf der Startseite, wäre aus meiner Sicht die umfassendere Lösung gewesen, um Missbrauch vorzubeugen, bis die Lücke gestopft wurde. -
Natürlich würde es Sinn machen, wenn man Daten benutzen könnte an die nur Lima ran kommt.
Aber gestern wurde ein externes Java-Skript eingebunden.
Das heisst der Angreifer kennt somit diese Daten auch.
Bei einigen Borwsern kann man genau diese Daten ändern.
Ja, aber es macht das Übernehmen der Sessions schwieriger, da der Angreifer alle Daten übernehmen und simulieren müsste... => ein bisschen Mehrarbeit, dass ihn evtl. abhält bzw. das Ganze lästiger macht.
Also man könnte jemanden das Leben damit schwerer machen.
Aber vielleicht schreibst du den Lord mal an und machst ihn diese Vorschläge.
Denn diese Vorschäge wären nur sicher, wein keiner Weiß was man benutzt und was nicht. ;)
In übrigen währe die Frage, was wollen die Angreifer?
Wenn man einen Acc. übernimmt kann man viel schaden anrichten. Aber wirklich schlimmes kann man da nicht mit anfangen. Da es hier nicht um vertrauliche Daten geht.
Der Angreifer hätte durchaus versuchen können einen Virus auf deinen Computer zu installieren.
Das währe viel schlimmer als das klauen deiner Benutzerdaten.
Somit muss man versuchen, dass kein fermder Code in Lima eingebunden werden kann.
Und dann kann man auch nicht die Cookies lesen.
Aber eines muss uns auch klar sein.
Einen totalen Schutz wird es nie geben.
-
Es ist allgemein ziemlich wackelig, noch den User-Agent oder die IP zu überprüfen.
Der IP-Bereich wäre ja eine Möglichkeit, aber was machen Leute, die mit Proxy-Servern unterwegs sind?
Soweit ich weiß, gibt es auch Provider, die Proxy-Cluster nutzen, sodass man also während einer Session mehrere IPs hat. Selbiges gilt dann auch für den User-Agent.
Ich denke, dass ein gut ausgebautes System besser ist, als alle solche Sicherheitsabfragen.
In den alten Versionen von lima-city hat es auch ohne solche Features funktioniert.
Vollkommen sicher kann man ein System nicht gestalten, aber man kann es versuchen und aus Fehlern lernen.
Die "eingeloggt bleiben"-Funktion würde ich auch ungern verabschieden. Ich schaue etwa jede Stunde einmal auf lima-city vorbei - soll ich mich da jedes Mal wieder neu einloggen, auch, wenn die Zugangsdaten bereits im Loginfeld stehen? Nein. :)
gruß
ferdinand24 -
Soweit ich auf dem neusten Stand bin und in der Vergangenheit aufgepasst habe war das einer der wenigen (wenn nicht sogar einzigen) "Hackangriffe" auf Lima mit ernsthaften Folgen...
Und diese sind nur entstanden, man muss es ja so krass sagen, weil sich hier einige Leute beweisen müssen wie toll sie sind und das auch der ganzen Community zeigen müssen. Anstatt einfach ganz normal einen gefundenen Fehler zu melden. Nein das wäre ja zu einfach dann wüsste ja keiner wie toll derjenige doch ist der ihn rausgefunden hat.
Sorry aber find das ist ein ganz schönes Armutszeugnis...
Beitrag geändert: 29.12.2008 18:02:25 von jacer -
Ich finde es übertrieben, dass jetzt alle an der Sicherheit von Lima-City zweifeln. Hätte es diesen Angriff nicht gegeben, würde sich niemand Gedanken machen.
Man sollte das nun positiv sehen. Die Sicherheitslücke wurde geschlossen und sicherlich wurde überprüft, ob noch eine weitere besteht.
Wie jacer schon erwähnt hat, war das der erste oder zweite ernstere Angriff auf lima city. Das spricht für sich und somit kann ausgegangen werden, dass lima-city sicher aufgebaut ist, durch diesen Angriff die einzige Lücke gefunden und geschlossen wurde und nun auch wieder sicher ist.
Beitrag geändert: 29.12.2008 18:26:39 von jocko -
-
Also Lima als portal für Webmaster mit sehr vielen usern ist und bleibt natürlich ein schönes Ziel für Hacker. Schöner wäre es natürlich,wenn der Fehler direkt an den lord gemeldet würde, anstatt sowas zu fabrizieren, aber Hackerkenntnisse sagen nunmal nichts über die geistige Reife eines menschen aus.
Ich denke generell sollte ein portal,wie das unsere, in erster Linie benutzerfreundlich aufgebaut sein. Auf den 1-Monats-Login würde ich z.B. auf keinen Fall verzichten wollen. Es wird alles dafür getan Lima sicher zu halten, aber wie man ja an ständigen sicherheitsupdates für win und ie sieht, ist es nicht ganz einfach.
Wenn ihr eine gute Idee oder gar keine Sicherheitslücke findet, teilt diese doch einfach dem lord direkt mit.
Ansonsten kann ich nur sagen, dass zumindest ich mir keine großen Sorgen mache... -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
