https und http mischen ala ebay - ist dies gefährlich?

#0
22.12.2007, 21:46
...neu hier

Beiträge: 3
#1 Hallo,

ich stelle mir folgende Frage:

Wenn auf einer Website nur das Login über https läuft, und danach wieder alles über http, dann kann doch jemand meine Session hijacken. Selbst wenn dann später, wie bei Ebay, wieder auf eine https-Seite gewechselt wird, ist die Sitzung gekidnappt?

Ich stelle mir die Frage jetzt, weil ich selbst eine Web-Seite online stellen will, und mich frage, was am sinnvollsten ist.

Variante 1: Nach dem einloggen stets alles mit https machen - dies kostet nätürlich was !?Performance?!

Variante 2: Nach dem einloggen stets mit https weitermachen, um session-hijacking vorzubeugen.

Hoffe es kennt sich jemand so gut mit SSL aus, um mir meine Frage zu beantworten.

Schon mal Danke!

Grüßte,

blaetze
Seitenanfang Seitenende
23.12.2007, 11:49
Member
Avatar Xeper

Beiträge: 5289
#2

Zitat

Wenn auf einer Website nur das Login über https läuft, und danach wieder alles über http, dann kann doch jemand meine Session hijacken.
Ja, wie denn?
Die session ist auf dem Server und der Client gibt die SID als Übergabe (per URL ref oder automatisch). Soweit ich mich erinnern kann war das doch so.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
23.12.2007, 12:39
...neu hier

Themenstarter

Beiträge: 3
#3 Nein, die SID wird via POST übertragen. Sonst ist das hijacken ja supersimple!

Das Problem ist doch bei HTTP und eingeloggten user, dass die SID dann unverschlüsselt übertragen wird, oder nicht? Somit kann sie leicht abgefangen und missbraucht werden.

Zitat

Xeper postete

Zitat

Wenn auf einer Website nur das Login über https läuft, und danach wieder alles über http, dann kann doch jemand meine Session hijacken.
Ja, wie denn?
Die session ist auf dem Server und der Client gibt die SID als Übergabe (per URL ref oder automatisch). Soweit ich mich erinnern kann war das doch so.
Seitenanfang Seitenende
23.12.2007, 13:05
Member
Avatar Xeper

Beiträge: 5289
#4

Zitat

Nein, die SID wird via POST übertragen. Sonst ist das hijacken ja supersimple!
Das kannst du einstellen, jo sagte nicht das du es über GET tuen solltest ;)

Zitat

Das Problem ist doch bei HTTP und eingeloggten user, dass die SID dann unverschlüsselt übertragen wird, oder nicht? Somit kann sie leicht abgefangen und missbraucht werden.
Naja ein bisschen Paranoia schadet nie oder wie? ;)
Vorschlag: speichere doch die IP Adresse des Clients in die Session - die benutzt du im code dann als Authentifizierung.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
23.12.2007, 13:45
...neu hier

Themenstarter

Beiträge: 3
#5 Ja, bischen Paranoia schadet nie.

Meine Site ist auch nicht so sicherheitsrelevant. ;)

Mir gings hier hauptsächlich auch um das Verständnis. Könnte ja sein, dass beim HTTPS-Protokoll vielleicht der Client auch "automatisch" mit verifiziert wird, z. B. über die IP.

Deiner Antwort zufolge ist dies nicht der Fall, und man könnte z. B. die IP prüfen um hier sicherer zu fahren.

Bei EBAY ist es meines wissens ja auch so, dass zum Ändern der persönlichen Daten nochmals das Password eingegeben werden muß. Dies schützt hier zumindest.

Lediglich beim Bieten könnte dies ein Hijacker für mich tun. Auch hier nochmal eine Passwort-Verifizierung einzubauen wäre nicht so benutzerfreundlich.

Danke für die Antworten!


Zitat

Xeper postete

Zitat

Nein, die SID wird via POST übertragen. Sonst ist das hijacken ja supersimple!
Das kannst du einstellen, jo sagte nicht das du es über GET tuen solltest ;)

Zitat

Das Problem ist doch bei HTTP und eingeloggten user, dass die SID dann unverschlüsselt übertragen wird, oder nicht? Somit kann sie leicht abgefangen und missbraucht werden.
Naja ein bisschen Paranoia schadet nie oder wie? ;)
Vorschlag: speichere doch die IP Adresse des Clients in die Session - die benutzt du im code dann als Authentifizierung.
Seitenanfang Seitenende
23.12.2007, 22:18
Member
Avatar Xeper

Beiträge: 5289
#6

Zitat

Bei EBAY ist es meines wissens ja auch so, dass zum Ändern der persönlichen Daten nochmals das Password eingegeben werden muß. Dies schützt hier zumindest.
Ja zb. oder wenn die Session halt abgelaufen ist aber das ist ja der normal Fall.
Ich bin auch da im Mom bissl raus weil fast alle meine Proj. im Moment client app basierend sind.
Aber ich denke wenn du noch mehr drüber nachdenkst findest du auch noch andere Möglichkeiten der Authentifizierung.

Zitat

Lediglich beim Bieten könnte dies ein Hijacker für mich tun.
Naja du scheinst ja sehr skeptisch zu sein, für mich müßte das erstmal bewiesen werden also lassen wir das jetzt so dahingestellt - web 2.0 wird zwar auch immer gefährlicher und es gibt dutzend Möglichkeiten wie man wo was ausnutzen kann - wird es immer geben trozdem muss man sich mit einer relativen Sicherheit zufriedengeben.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende