30.03.10 23:43 Uhr
 404
 

Sicherheitsrisiko bei PHP-Session-IDs bleibt bestehen

Laut Aussage des Sicherheitsexperten Andreas Bogk, sind PHP-Session-IDs auch nach den mit Version 5.3.2 eingeführten Verbesserungen weiterhin erratbar. Bei genauerer Betrachtung seien erschreckende Defizite im Sicherheitsbewusstsein der Entwickler zu erkennen.

Während Zufallszahlengeneratoren wie der beliebte LCG zwar in soweit hinreichend sicher sind, dass sich aus bereits erzeugten Zahlen keine Rückschlüsse auf kommende ziehen lassen, ist es bei bekanntem Initialisierungswert möglich, die Operationen des Generators nachzuvollziehen.

Um den Initialisierungswert zufälliger zu gestalten, setzen die PHP-Entwickler in der aktuellen Version eine zusätzliche Abfrage der Systemzeit ein, was jedoch laut Bogk kein kaum zusätzliche Sicherheit verspricht.


WebReporter: Sandmannx
Rubrik:   High Tech
Schlagworte: Update, Sicherheit, Software, PHP, Session-ID
Quelle: www.heise.de

Jetzt Deinen
Kommentar abgeben!

DAS KÖNNTE DICH AUCH INTERESSIEREN

Smart TVs von Samsung und TCL sind leicht zu hacken
Landgericht Berlin: Facebook verstößt gegen Datenschutz
Google Chrome wird zukünftig vielen SSL-Seiten das Vertrauen entziehen

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

2 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
31.03.2010 17:03 Uhr von PumaDAce
 
+0 | -1
 
ANZEIGEN
Cookies: Wenn man Cookies benutzt hat man das Problem nicht.
Kommentar ansehen
03.04.2010 19:03 Uhr von SciLor
 
+0 | -0
 
ANZEIGEN
http://www.scilor.com: @PumaDAce wenn man keine Ahnung hat ;)

Die PHP-Sessions einfach mit einer eigenen ID Koppeln, IP-gebunden schon ist es wieder sicher ;)

Refresh |<-- <-   1-2/2   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2018 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Paramount beendet "Transformers"-Reihe für Neustart
USA: Donald Trump will jetzt Lehrer bewaffnen
Gegen die zehn Gebote verstossen: Margot Käßmann geht in Rente!


...oder unseren und keine aktuellen News mehr verpassen?