cookies in php en hun veiligheid

gbolssens · 11-07-2007, 23:12

Hi allemaal.

Ik ben me er van bewust dat de data in een cookie verre van geheim is, maar ik zou graag willen weten of ik mijn applicatie moet beveiligen tegen mensen die de waarde van een cookie veranderen.

Kan je van een bestaande cookie de waarde of de expiry wijzigen? of kan je een cookie "faken"? zodat de applicatie denkt dat 'ie al geset is terwijl dit op een "illegale" manier gebeurde?

mvg en alle reacties zijn welkom,
GB

Voetsjoeba · 11-07-2007, 23:15

Ja, je kan de inhoud van cookies wijzigen. Ja, je kan een cookie faken. Om zo veilig mogelijk te zijn mag je absoluut nergens van uit gaan qua user input.

voskuh · 11-07-2007, 23:17

Ik heb zelf een add-on voor FireFox waarmee ik inhoud van cookies kan zien, wijzigen, toevoegen en verwijderen. In principe kan ik alle velden veranderen.

gbolssens · 12-07-2007, 12:46

crap, dan ga ik even moeten nadenken.
Zijn sessions dan op dat vlak veiliger om het "ingelogd zijn" van een bepaalde gebruiker te checken?

alvast heel erg bedankt,
GB

josko · 12-07-2007, 12:51

Citaat:

Oorspronkelijk geplaatst door gbolssens

crap, dan ga ik even moeten nadenken.
Zijn sessions dan op dat vlak veiliger om het "ingelogd zijn" van een bepaalde gebruiker te checken?

alvast heel erg bedankt,
GB

ja, sessies zijn veiliger. Omdat die data op de server bewaard wordt, en ook nog niet in hun echte vorm, maar ge-encrypt of gecodeerd.

let wel, door het stelen van cookies kan een sessie overgenomen worden. (ip/tijd checks helpen)

De Kale · 18-07-2007, 09:42

je kunt wel een veilig systeem maken dat gebruik maakt van cookies of sessies (ook sessies werken namelijk met cookies).

Je kunt bijvoorbeeld in de cookie een md5 hash opslaan, die alleen geldig is voor de sessie dat de gebruiker ingelogd is (de tijd dat de gebruiker bestaat). Als de gebruiker inlogt, genereer je een nieuwe md5 hash in de database voor die gebruiker.
Je communiceert dan alleen in je cookie de md5(), zolang als deze overeenkomt met de waarde in de sessie (die vanzelf afloopt als je de browser sluit) ben je ingelogd

De waarde van de md5 hash zelf kun je gebruiken om data uit de database te halen voor die gebruiker.

gbolssens · 18-07-2007, 09:55

Hi De Kale,

Da's idd wel een strak plan. Ik zou dan bvb de login met de unix timestamp van het moment van inloggen (afgerond naar het eerstkomende hele uur ofzo, dan zou het al heel veel toeval moeten zijn dat dat net mislukt) kunnen concateneren en daar de MD5 van trekken.... Ik ga hier even over nadenken en laat weten wat ik heb gevonden

thx+grtz
GB

gbolssens · 18-07-2007, 13:35

P.S.: gelukkig heb ik een functie geschreven admin_is_ingelogd() die wordt gechecked op true of false voordat de content wordt weergegeven. Zo moet ik alleen maar de include waarin die funtie staat opnieuw te schrijven en alles draait weer als een zonnetje

11-07-2007, 23:12	#1
gbolssens Total wicked member Geregistreerd: Jun 2005 Locatie: Antwerpen, België Leeftijd: 33 Berichten: 500 Flash CS3	cookies in php en hun veiligheid Hi allemaal. Ik ben me er van bewust dat de data in een cookie verre van geheim is, maar ik zou graag willen weten of ik mijn applicatie moet beveiligen tegen mensen die de waarde van een cookie veranderen. Kan je van een bestaande cookie de waarde of de expiry wijzigen? of kan je een cookie "faken"? zodat de applicatie denkt dat 'ie al geset is terwijl dit op een "illegale" manier gebeurde? mvg en alle reacties zijn welkom, GB __________________

11-07-2007, 23:15	#2
Voetsjoeba Total freaking member Geregistreerd: Jun 2005 Locatie: Belgium, Ghent Leeftijd: 21 Berichten: 359 Flash CS3	Re: cookies in php en hun veiligheid Ja, je kan de inhoud van cookies wijzigen. Ja, je kan een cookie faken. Om zo veilig mogelijk te zijn mag je absoluut nergens van uit gaan qua user input. __________________

11-07-2007, 23:17	#3
voskuh Total freaking member Geregistreerd: Jan 2006 Locatie: Nederland, Maastricht Leeftijd: 23 Berichten: 267 Flash CS3	Re: cookies in php en hun veiligheid Ik heb zelf een add-on voor FireFox waarmee ik inhoud van cookies kan zien, wijzigen, toevoegen en verwijderen. In principe kan ik alle velden veranderen.

12-07-2007, 12:46	#4
gbolssens Total wicked member Geregistreerd: Jun 2005 Locatie: Antwerpen, België Leeftijd: 33 Berichten: 500 Flash CS3	Re: cookies in php en hun veiligheid crap, dan ga ik even moeten nadenken. Zijn sessions dan op dat vlak veiliger om het "ingelogd zijn" van een bepaalde gebruiker te checken? alvast heel erg bedankt, GB __________________

18-07-2007, 09:42	#6
De Kale FlashFocus Respected Member Geregistreerd: Mar 2005 Locatie: Breda Leeftijd: 36 Berichten: 308 cs4 + fdt	Re: cookies in php en hun veiligheid je kunt wel een veilig systeem maken dat gebruik maakt van cookies of sessies (ook sessies werken namelijk met cookies). Je kunt bijvoorbeeld in de cookie een md5 hash opslaan, die alleen geldig is voor de sessie dat de gebruiker ingelogd is (de tijd dat de gebruiker bestaat). Als de gebruiker inlogt, genereer je een nieuwe md5 hash in de database voor die gebruiker. Je communiceert dan alleen in je cookie de md5(), zolang als deze overeenkomt met de waarde in de sessie (die vanzelf afloopt als je de browser sluit) ben je ingelogd De waarde van de md5 hash zelf kun je gebruiken om data uit de database te halen voor die gebruiker. __________________ dpdk \| tutorial Flash-PHP-MySQL \| FLASH, MySQL en PHP certified \| dpdk opensource

Volg FlashFocus op Twitter

OVER FLASHFOCUS

STATISTIEKEN

SPONSORS

18-07-2007, 09:55	#7
gbolssens Total wicked member Geregistreerd: Jun 2005 Locatie: Antwerpen, België Leeftijd: 33 Berichten: 500 Flash CS3	Re: cookies in php en hun veiligheid Hi De Kale, Da's idd wel een strak plan. Ik zou dan bvb de login met de unix timestamp van het moment van inloggen (afgerond naar het eerstkomende hele uur ofzo, dan zou het al heel veel toeval moeten zijn dat dat net mislukt) kunnen concateneren en daar de MD5 van trekken.... Ik ga hier even over nadenken en laat weten wat ik heb gevonden thx+grtz GB __________________

18-07-2007, 13:35	#8
gbolssens Total wicked member Geregistreerd: Jun 2005 Locatie: Antwerpen, België Leeftijd: 33 Berichten: 500 Flash CS3	Re: cookies in php en hun veiligheid P.S.: gelukkig heb ik een functie geschreven admin_is_ingelogd() die wordt gechecked op true of false voordat de content wordt weergegeven. Zo moet ik alleen maar de include waarin die funtie staat opnieuw te schrijven en alles draait weer als een zonnetje __________________

Er zijn 1 actieve gebruikers die momenteel deze discussie bekijken (0 leden en 1 gasten)

Volg FlashFocus op Twitter

OVER FLASHFOCUS

STATISTIEKEN

SPONSORS

SOCIAL