Wie Session-Hijacking verhindern?

Sockets, TCP/IP, (XML-)RPC und ähnliche Themen gehören in dieses Forum
Benutzeravatar
Blattlaus
User
Beiträge: 55
Registriert: Donnerstag 24. August 2006, 08:55

Freitag 8. Dezember 2006, 11:17

HTTP ist per Defintion ein Verbindungloses und unverschlüsseltes Protokoll. Wenn man wirklich so sensible Daten hat (und das Passwort zu irgendeiner Community fällt da wohl defintiv nicht drunter), dann sollte man es nicht nutzen. Da kann man anfangen mit irgendwelchen Hashes anfangen und sich irgendwas basteln und so eine Krüppellösung basteln oder man nutzt gleich HTTPS das per Defintion für sowas vorgesehen ist.

Ich versteh immer nicht wieso es sich manche so schwer machen...
Benutzeravatar
jens
Moderator
Beiträge: 8482
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Freitag 8. Dezember 2006, 11:55

Blattlaus hat geschrieben:Ich versteh immer nicht wieso es sich manche so schwer machen...
Darüber nachdenken darf man aber schon, oder? :lol:

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Benutzeravatar
keppla
User
Beiträge: 483
Registriert: Montag 31. Oktober 2005, 00:12

Freitag 8. Dezember 2006, 12:05

jens hat geschrieben:Darüber nachdenken darf man aber schon, oder? :lol:
Klar, darf man. Nur meistens (dies ist nicht die erste Erörterung eines solchen Themas, die ich lese) wird da weniger nachgedacht, sondern viel mehr wilder Aktionismus verbreitet.
Wie gesagt: man kann recht einfach zeigen, dass man HTTP nicht vor jemanden schützen kann, der mithören kann. Damit sollte das Thema erledigt sein (nicht im sinne von "keiner DARF was sagen", ist nicht als Zensur gemeint).

Ich warte schon etwas länger auf meinen lieblings-sinnlosvorschlag, die passwörter vorher per javascript o.Ä. zu md5- oder sha1en. ;)
Benutzeravatar
jens
Moderator
Beiträge: 8482
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Freitag 8. Dezember 2006, 12:21

keppla hat geschrieben:Ich warte schon etwas länger auf meinen lieblings-sinnlosvorschlag, die passwörter vorher per javascript o.Ä. zu md5- oder sha1en. ;)
Hasz du bei http://www.python-forum.de/topic-8180.html nicht mitgelesen? :wink:

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Freitag 8. Dezember 2006, 19:43

jens hat geschrieben:Nichts, das war indirekt an Leonidas gerichtet:
Leonidas hat geschrieben:Wieso sollten "offizielle" Zertifikate sicherer sein?
Wie gesagt, ich kann mir auch ein Thawte-Zertifikat besorgen. Und dann?
My god, it's full of CARs! | Leonidasvoice vs Modvoice
Antworten