Beiträge von antondollmaier

  • Session-Validierung

    Zitat von kk

    Das erledigt eigentlich die SSL-Verschlüsselung (HTTPS).


    Ok, stimmt. Im Log/Traffic-Dump finden sich ja nur Hinweise auf die Domain/Server, nicht auf die tatsächliche URL.


    Zitat

    Mit "einfacher User" war aber nicht ein in LiveConfig eingeloggter User gemeint, oder? Denn die Session-ID ist immer an einen bestimmten Account innerhalb LiveConfig gebunden.


    War folgender Ablauf zwischen zwei Personen an unterschiedlichen Internetverbindungen und Browsern (Firefox/Chrome).


    - Person A loggt sich mit User A ein
    - Person B loggt sich mit User B ein
    - Person B gibt eine URL an Person A weiter: "/liveconfig/servers/manage?id=MxHGNnvy1i6aMKGjDsoie6qZ"
    - Person A ruft diese URL im Browser auf und hat nun die vollen Rechte von User B
    - im zweiten Tab ist immer noch die Session von User A aktiv und nutzbar, da andere Session-ID


    Funktionierte auch andersrum mit "/liveconfig/admin/account/contact?id=6pqjZCwf1cgiYhG0WVkVZZLu".


    Und das sollte eigentlich nicht passieren.


    Oder bin ich nur zu paranoid? :)

  • Session-Validierung

    Hallo,



    Zitat von kk

    Da die Antwort nicht in einen Tweet passt, mache ich das hier etwas ausführlicher. :)


    Danke :)


    Zitat

    LiveConfig verwaltet seine Session-ID über die URL, da mehrere gleichzeitige Sessions mit dem selben Browser über Cookie-basierte Session-IDs nicht möglich sind.


    Macht auch durchaus Sinn, um somit gleichzeitig als unterschiedlicher User eingeloggt zu sein.


    Zitat

    Da LiveConfig nicht anfällig für XSS (Cross Site Scripting) ist, besteht die einzige "Gefahr" also in einer bewußten oder unbewußten Weitergabe der URL mitsamt Session-ID (z.B. Screenshot, ...).


    Mir fallen noch weitere Möglichkeiten ein:


    - Proxy-Caches/Logs
    - Internet-Cafes mit WLAN


    Zitat

    Um diesem vorzubeugen, werden wir in der nächsten Preview-Version (1.1.4) ein zusätzliches Cookie mit speichern, welches die Verwendung der Session-ID auf den jeweiligen Browser begrenzt.


    Klingt gut :)


    Zitat

    Eine Begrenzung auf die IP-Adresse des Logins (bzw. einer /16 (IPv4) oder /64 (IPv6) Maske) macht unserer Erfahrung nicht immer Sinn; wir haben häufig den Fall erlebt, dass ein Nutzer mehrere verschiedene Internet-Uplinks gleichzeitig nutzt (Outbound Load Balancing), die in völlig verschiedenen Netzbereichen lagen.


    Klar - auch AOL-Proxy-User dürften wenig begeistert von IP-Limitierungen sein.


    Allerdings war es etwas schockierend zu sehen, dass die simple Weitergabe der URL ("hier, schau mal!") plötzlich aus einem einfachen User einen Admin machte.


    Ansonsten bin ich auf die weiteren Tests und Funktionalitäten gespannt :)



    Viele Grüße,


    Anton Dollmaier