Session Sicherheit bei mobilen Usern

[cYbercOsmOnauT]

Ich habe heute eine allgemeine Frage an Euch und bitte um Eure Meinungen/Ideen.

Bis dato habe ich eine Session an eine IP gebunden. Hatte sich die IP geändert, dann war die Session auch tot oder wurde sofort abgetötet um sogenanntes Session Hijacking zu unterbinden.

In der heutigen Zeit jedoch gibt es vermehrt mobile User, die per Handy oder Stick ins Internet gehen. Hier entsteht mein Problem. Wird die Verbindung schlechter oder besser und schaltet das Handy/Stick auf einen anderen Datenmodus, zum Beispiel von GPRS auf EDGE, wechselt auch umgehend die IP. Geht es wieder zurück zum alten Modus, bekommt der immer noch selber User wiederum eine neue IP.

Meine Frage an Euch: Wie würdet ihr in dieser heute immer üblicher werdenden Umgebung die Session gegen Hijacking schützen? Zur Erinnerung, diese Frage ist allgemein gestellt und bezieht sich nicht auf bestimmte Systeme wie zum Beispiel unser Shopsystem modified eCommerce Shopsoftware.

Grüße,
Tekin

Linkback: https://www.modified-shop.org/forum/index.php?topic=16555.0

[Tomcraft]

Sehr interessantes Thema, das immer aktueller wird, da mobile-browsing mittlerweile ja zum Standard geworden ist!

Die Frage scheint mir aber sehr rhetorisch zu sein.

Die Antwort muss "Ja" heissen.

Grüße

Torsten

[h-h-h]

Es gibt da einige Wege wie man so was anstellen kann.

Die Eindeutigen basieren auf ASP.NET/JavaApplets/Flash(-Cookies)/VBS(-MAC)/ActiveX/JScript(Hardware/NETWORK)/PerlCtrl bzw. einem Browser-Plugin für den mobilen Besucher, das Problem hierbei liegt klar auf der Hand.

Ein Cookie das über eine andere Domain gesetzt wird, getarnt als Werbeseite über einen iframe/js beim Login(zweites Parameter). Welches im Fall der Fälle abgefragt und verglichen werden müsste.

Falls die IP nicht mehr stimmt und die Session noch aktiv ist kann auch eine Kurzpasswort-Abfrage helfen.

Clever ist eine Sessions-IPs-History zu speichern und bei einem Erneutem Vorkommen die Session des hijackers zu killen.

Zu PHP könntest Du Dir mal folgende Klasse anschauen: EckoSession

Interessant zu diesem Thema: The Open Web Application Security Project (OWASP)

Das ganze Thema ist sehr heikel, da es eng verbunden ist mit dem Datenschutz.

Gruß h-h-h

[cYbercOsmOnauT]

[...]
Falls die IP nicht mehr stimmt und die Session noch aktiv ist kann auch eine Kurzpasswort-Abfrage helfen.

Clever ist eine Sessions-IPs-History zu speichern und bei einem Erneutem Vorkommen die Session des hijackers zu killen.
[...]

Vielleicht verstehe ich Dich falsch, aber dies sind die normalen Schutzmethoden wo die IP eines Users sich nicht alle paar Minuten oder gar Sekunden änderte. Da jedes Mal eine PW-Abfrage einbauen würde die User vergraulen.

[h-h-h]

Ich meinte nicht die aktuelle sondern die letzte Session.

Und normalerweise wird meistens PW und Username/eMail abgefragt und ich meinte ein spezielles Kurzpasswort.

Gruß h-h-h

[Cookie]

Hallo,

die Session an die IP zu binden ist keine gute Idee. Die Probleme treten nicht nur bei mobilen Usern auf, die das Medium ändern. Auch Benutzer hinter Proxy Farmen (z.B. in großen Firmen) kommen bei jedem HTTP Request nicht immer mit der gleichen IP.

Eine gute Idee ist sicherlich die Verwendung von signierten Session Cookies, z.B. mit PHP Suhosin. Damit können die Sessioninfos nicht manipuliert werden. Ein Diebstahl der Cookies ist aber immer noch möglich. Deshalb ist es auch ganz wichtig, dass beim Login auf SSL gewechselt wird und natürlich die Session nach dem Login erneuert wird. Wenn alle Seiten durchgängig über SSL gezogen werden, dann würde ich das Sessionhandling als sicher betrachten. Und jetzt das Beste: modified eCommerce Shopsoftware unterstützt dies alles. 

Grüße
Christian

[p3e]

Dass die IP bei manchen großen Firmen auch wechselt, kann ich bestätigen.