PHP offenbart Probleme mit Session -IDs

Posted on April 9th, 2010 No Comments »
PHP offenbart Probleme mit Session -IDs

Es ist schon erstaunlich, dass dieses Problem immer noch nicht behoben ist. Es geht um die Vergabe von Session -IDs bei der Anmeldung an ein PHP -System und die Vermutung, dass diese nachwievor erraten werden können. Das meint zumindest der IT -Sicherheitsfachmann Andreas Bogk und verweist laut einem Artikel bei heise.de darauf, dass PHP offensichtlich nicht mit einem so genannten Zufallszahlengenerator arbeitet.

Abhilfe wurde zwar mit der Version PHP 5.3.2 und auch schon unter 5.2.13 geschaffen – die erhöhte Sicherheit reicht indes nicht aus, um nicht wieder vorhersagbare Session -IDs zu produzieren.

Der einzige Ausweg sind derzeit Anwendungen, die mit Suhosin erweitert wurden, denn in diesen Fällen bzw. bei diesen Installationen tritt das Problem nicht auf.


By admin Filed under: PHP-News






XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>



Blogroll

Lorem ipsum

These 3 boxes are widgets and can be edited through the admin page, just like the sidebar.

Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Impressum