Sicherheit durch URL?

[Kalma]

Hallo,

ich spiele seit einiger Zeit sigma15, ein vielleicht auch hier bekanntes online game. Da ist mir aufgefallen, das immer, wenn man eingeloggt ist, eine solche URL in der URL-Leiste auftaucht:

http://e922824d58e4a73e498460e4bcbb11c5.sigma15.de/

Wie kriegt man das hin? Da dieser Code immer neu Generiert wird, also, dieser verschlüsselte, kann man ja nicht einfach so in den User-Berreich.

MfG
David

 

[Dennis Wronka]

Das sieht mir stark nach einer SessionID aus.
Hier der Hostnamenteil den Du gepostet hast und darunter mal eine SessionID von meinem Webserver.
e922824d58e4a73e498460e4bcbb11c5
5d62a3da5a565422bea409fa2f3dca23

Der Hostname loest immer nach 213.239.219.244 auf.

bash-3.1# host e922824d58e4a73e498460e4bcbb11c5.sigma15.de
e922824d58e4a73e498460e4bcbb11c5.sigma15.de has address 213.239.219.244

bash-3.1# host sigma15.de
sigma15.de has address 213.239.219.244
sigma15.de mail is handled by 10 mail.sigma15.de.

Die SessionID wird hier also offensichtlich als Hostname uebergeben. Der Webserver nimmt Anfragen fuer auf allen Hostnamen in der Domain sigma15.de an und das Script nutzt dann einfach den Hostnamen als SessionID.
Eigentlich keine schlechte Idee, mit einem netten Script dahinter sollte dies einen netten Batzen Sicherheit vor Session-Klau geben.

 

[Kalma]

hey,

danke für die schnelle antwort

kann ich das denn auch auf meinem Server realisieren?

 

[Dennis Wronka]

Theoretisch ja, praktisch weiss ich das nicht genau.
Je nachdem wie der Webserver konfiguriert ist koennte es sein, dass Du dort einen VHost einrichten musst der alles fuer *.deinedomain.de entgegennimmt. In der Standardkonfiguration sollte es aber bereits vom Server her gehen.
Die andere Frage ist der DNS, denn der Client fragt ja irgendeinen DNS-Server, und alle Hosts muessen die gleiche IP ausspucken. Was dafuer noetig ist weiss ich nicht genau, da ich mich mit solchen Spielereien noch nicht befasst hab, aber Dein Hoster kann Dir da sicher ein paar Informationen zu liefern.

 

[Gumbo]

Die Frage ist wohl, ob das überhaupt notwendig ist. Oder sieht das einfach so „cool“ aus, dass es übernommen werden muss?

 

[Kalma]

nein!! es ist nicht cool, es dient zur sicherheit!

 

[Gumbo]

Und was soll daran die Sicherheit erhöhen? Die Sitzungs-ID – gehen wir mal davon aus, dass das die Sitzungs-ID ist – ist doch immer noch offensichtlich in der Adresse enthalten.

 

[Kalma]

Ja,
aber es ist doch immer eine andere

 

[Gumbo]

Und aber wieso sollte dieser variable Teil mehr Sicherheit bringen, wenn er doch beliebig austauschbar ist? Eine Website ist doch nicht dadurch sicherer, wenn die Sitzungs-ID direkt im URL steht. Nur die genauere Validierung der Sitzungs-ID und eine allgemein sicherere Sitzungsverwaltung kann eine Website sicherer machen.

 

[Dennis Wronka]

Ich persoenlich finde, dass es eine interessante Alternative zur Uebergabe der SessionID als URL-Anhang ist, wenn man halt auf Session-Cookies verzichten moechte. Ohne sinnvolle Ueberpruefung der uebergebenen SessionID, ob nun als Parameter, Hostname oder auch Cookie, macht alles wenig Sinn.
Obwohl ich jetzt, bei naeherer Ueberlegung auch sagen muss, dass ich mit meiner Aussage von wegen "einem Batzen Sicherheit" doch wohl ein wenig vorschnell war, da dies ja im Grunde halt "nur eine weitere Technik" ist die SessionID zu uebergeben, wenn jedoch eine wirklich interessante.
Mit einem zusaetzlichen Modul im Webserver koennte man sogar die Ueberpruefung der Session komplett im Webserver abwickeln sodass PHP damit nicht "belastet" werden muss. Das koennte einen Performancegewinn bringen. Jedoch duerfte dies genauso auch mit SessionIDs in Cookies oder als Parameter machbar sein.
Ein Nachteil der mir jetzt dabei einfaellt ist, dass diese Addressen wohl nicht (oder nur schlecht) zu bookmarken sein duerften.