anpera.net

anpera.net

experimental server @home
Aktuelle Zeit: Do 28 Mär, 2024 12:50

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 16 Beiträge ] 
Autor Nachricht
BeitragVerfasst: Do 28 Mai, 2009 12:48 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
Mir ist über Umwege heute eine Sicherheitslücke in LoGD's Session-Verwaltung mitgeteilt worden. Ich vermute, dass sich die Lücke nur mit besonderer PHP- oder Apache-Konfiguration ausnützen lässt.
Der Bugfix ist aber relativ einfach.
In der common.php gehört session_register('session') ersetzt mit folgendem Stück code:

$this->bbcode_second_pass_code('', '// Session einstellen & starten
session_name('IrgendEinNameOhneBesondereZeichen');
session_start();')

Der Parameter von session_name sollte für jeden Server eindeutig sein. Garantiert erlaubt sind Zeichen a-Z und 0-9. Ich empfehle hier zum Beispiel den Namen des Servers (spamAndeggsLoGD) zu nehmen.


Zuletzt geändert von Eliwood am Di 11 Aug, 2009 11:58, insgesamt 2-mal geändert.

Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Do 18 Jun, 2009 10:50 
Offline
Freak
Freak
Benutzeravatar

Registriert: Mi 06 Jul, 2005 19:10
Beiträge: 543
Wohnort: Bremen
Geschlecht: Männlich
LoGD: http://my-logd.com/motwd
Man sollte auch erwähnen, dass der Name nicht nur aus Zahlen bestehen darf!
session_name()

_________________
Das schwarze Schaf der LotGD-Community, 2. platzierter, beim Giga.de Homepage-Award 2007 und 1. platzierter beim German Web Award 2008.
PC-ACTION meint: "Sehr gut" für MotWD!
Mind of the White Dragon => http://my-logd.com/motwd


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Do 18 Jun, 2009 16:00 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
Sagte ich doch bereits: Garantiert ist das funktionieren von den Zeichen a-Z und 0-9... ;)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Do 18 Jun, 2009 20:23 
Offline
Freak
Freak
Benutzeravatar

Registriert: Mi 06 Jul, 2005 19:10
Beiträge: 543
Wohnort: Bremen
Geschlecht: Männlich
LoGD: http://my-logd.com/motwd
Ohne jetzt kleinlich zu wirken, aber was wäre wenn Jemand auf die Idee kommt nur Zahlen zu nutzen, und später auf eine spezifische SessionId zuzugreifen versucht?

Ich habe auch nicht gesagt, dass a-z und 0-9 falsch wären. Leidiglich deiner Aussage hinzugefügt, dass NICHT NUR Zahlen, verwendwung finden dürfen/sollten.

Aber dennoch danke ich dir für deinen Hinweis, über die eventuelle Lücke, auch wenn ich glaube das die Umstände dann schon sehr "spezifisch" sein müssten.

_________________
Das schwarze Schaf der LotGD-Community, 2. platzierter, beim Giga.de Homepage-Award 2007 und 1. platzierter beim German Web Award 2008.
PC-ACTION meint: "Sehr gut" für MotWD!
Mind of the White Dragon => http://my-logd.com/motwd


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Do 18 Jun, 2009 22:24 
Offline
Profi
Profi
Benutzeravatar

Registriert: Mi 13 Mai, 2009 11:01
Beiträge: 147
Geschlecht: Weiblich
LoGD: http://www.lunaria-logd.de/source.php
Skype: Fragen
Ich mischerl mihch ma ein, und sag einfach mal Danke fürs aufmerksam machen^^

_________________
♠ PikAss

Fehler sind menschlich, und Menschen sind fehlerhaft!
Meiner einer, ist keiner, aber wenn keiner einer ist, wer ist dann keiner? :)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Do 18 Jun, 2009 23:46 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
-DoM hat geschrieben:
Ohne jetzt kleinlich zu wirken, aber was wäre wenn Jemand auf die Idee kommt nur Zahlen zu nutzen, und später auf eine spezifische SessionId zuzugreifen versucht?

Ich habe auch nicht gesagt, dass a-z und 0-9 falsch wären. Leidiglich deiner Aussage hinzugefügt, dass NICHT NUR Zahlen, verwendwung finden dürfen/sollten.

Aber dennoch danke ich dir für deinen Hinweis, über die eventuelle Lücke, auch wenn ich glaube das die Umstände dann schon sehr "spezifisch" sein müssten.


Oh. Dann hab ich dich wohl missverstanden, sorry. :pein:
Ja, klar - Mindestens ein Buchstabe muss vorhanden sein.


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Do 25 Jun, 2009 22:28 
Offline
Freak
Freak
Benutzeravatar

Registriert: Di 01 Mai, 2007 13:57
Beiträge: 1634
Wohnort: Dortmund.
Geschlecht: Männlich
LoGD: Lokal.
Skype: josh.hoiul
Müsste dann nicht auch, folgende Zeile geändert werden:

$this->bbcode_second_pass_code('', '$session =& $_SESSION['session'];')

Daher die Session im ggf. dann ja nicht mehr "session" heisst!?

_________________
Never change a running system. Bullshit! ;)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 26 Jun, 2009 00:22 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
Häh? Die Session ist ja immernoch $_SESSION. Da ist egal, wie die heisst - Sessionname ist hauptsächlich für die Cookies da.


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 26 Jun, 2009 11:31 
Offline
Freak
Freak
Benutzeravatar

Registriert: Di 01 Mai, 2007 13:57
Beiträge: 1634
Wohnort: Dortmund.
Geschlecht: Männlich
LoGD: Lokal.
Skype: josh.hoiul
Achso okay. Hatte mich nur irritiert, da die "session_register" ja auch "session" enthielt.. (:

_________________
Never change a running system. Bullshit! ;)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 26 Jun, 2009 16:50 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
session_register() ist veraltet - habs deswegen weggelassen. das hinzufügen von Array-schlüssel in $_SESSION reicht seit PHP-Version... Irgendwas über 4.0.5.


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Di 07 Jul, 2009 10:44 
Offline
Freak
Freak
Benutzeravatar

Registriert: Sa 15 Okt, 2005 14:06
Beiträge: 864
Geschlecht: Männlich
LoGD: http://shinobilegends.com
wie eliwood sagt... session_register() ist veraltet...

daher z.B. bei mir nur:

90 //session_register("session");
91 //deprecated
92 session_start();
93

als Änderung an der DP Edition von 1.x.x.

Läuft und passt. Der Sessionname ist irrelevant m.E. nach.

_________________
Entwicklung Lotgd 1.2.2 +nb
1.2.1 +nb ist final

Bugreports/Testing erwünscht, http://nb-core.org

Wichtige Info für Programmierersucher:
viewtopic.php?f=34&t=4285


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Di 07 Jul, 2009 11:54 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
Nein. Eben nicht.
Das ist ja der Fix der Sicherheitslücke. Ich schreib dir mal das Verhalten zu. ;)


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 17 Jul, 2009 06:13 
Offline
Profi
Profi

Registriert: Mo 30 Okt, 2006 21:29
Beiträge: 195
Ich hab da ein Problem mit dem Fix, weiß aber nicht obs am Fix, am Browser oder XAMPP, oder logd 0.9.7 liegt ^^
Bevor aber groß Crossposting geschriehen wird, frag ich mal nur hier nach.

Wenn ich session_set_cookie_params() so verwende,
PHP:
session_name('logd');
session_set_cookie_params(0, dirname($_SERVER['PHP_SELF']), $_SERVER['HTTP_HOST']);
session_start();


akzeptiert weder Firefox, noch IE das Cookie "logd" (alle anderen Cookies schon. lgi und eigene). Opera hat hingegen keine Progleme damit.
Wenn ich session_set_cookie_params() weg lasse, dann gehts in allen Browsern.


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 17 Jul, 2009 11:44 
Offline
Marquis Pherae
Marquis Pherae

Registriert: Mi 09 Feb, 2005 16:01
Beiträge: 3925
Wohnort: Basel
Geschlecht: Männlich
a) Nimm einen eindeutigeren Namen als "logd".
b) Die Cookie-Parameter kann man weglassen.


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 17 Jul, 2009 15:32 
Offline
Profi
Profi

Registriert: Mo 30 Okt, 2006 21:29
Beiträge: 195
Eliwood hat geschrieben:
a) Nimm einen eindeutigeren Namen als "logd".
b) Die Cookie-Parameter kann man weglassen.


a) hab ich schon gehabt. logd war nur als beispiel
b) mit session_set_cookie_params(0) funktionierts.

danke


Nach oben
 Profil  
Mit Zitat antworten  
BeitragVerfasst: Fr 24 Jul, 2009 08:11 
Offline
Freak
Freak
Benutzeravatar

Registriert: Sa 16 Jul, 2005 22:40
Beiträge: 693
Wohnort: /var/server/home/castle
Geschlecht: Männlich
LoGD: http://www.kokoto.de/
Skype: Apfelschokowodkakekskuchen
hmmm nach dem kommentar von Salator ist mir ein licht aufgegangen.
Jedesmal beim automatischen logout oder timeout kam die meldung auf der index man müsse cookies zulassen etc.

das liegt wohl daran das man PHPSESSID durch den namen in der common.php ersetzen muss?

if (!isset($_COOKIE['PHPSESSID'])){

is 2x in der index.php enthalten.
greetz


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 16 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen
Du darfst keine Antworten zu Themen in diesem Forum erstellen
Du darfst deine Beiträge in diesem Forum nicht ändern
Du darfst deine Beiträge in diesem Forum nicht löschen
Du darfst keine Dateianhänge in diesem Forum erstellen

Suche nach:
Gehe zu:  
cron
POWERED_BY
Deutsche Übersetzung durch phpBB.de
anpera.net - Impressum