:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
/u/1830/acm.png?f=community)
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Dat zou goed kunnen, zie ook mijn edit. Ik kan me herinneren dat we in de "Topix tijd" wel redelijk vaak meldingen kregen van mensen die een sessie van een ander kregen, maar daar is met React toen met wat fatsoenlijke checks naar gekeken.
En toen we uiteindelijk met de merge onze eigen id's overal gebruikten, hebben we zowel voor de FP als het forum dezelfde, volledig random string ipv iets gebaseerd op "md5(uniqid(mt_rand(), true))" (of vast nog slechter bij Topix). Bovendien ruimen we sessies sindsdien beter op
Waar precies de kans op collisions tot nagenoeg nul is gereduceerd weet ik eigenlijk niet eens zeker
:strip_icc():strip_exif()/u/5964/crop56503163e97a5.jpeg?f=community)
Wat ik me ineens afvraag nu. Hoe voorkom je met een random systeem dit:
- persoon a krijgt sessie, wordt opgeslagen in db
- na x tijd wordt sessie verwijderd uit db vanwege opschoning
- persoon b krijgt sessie, wordt opgeslagen in db, toevallig hetzelfde als persoon a zn oude sessie
- persoon a komt op site en is ingelogd als persoon b vanwege (extreem?) oude cookie
- persoon a krijgt sessie, wordt opgeslagen in db
- na x tijd wordt sessie verwijderd uit db vanwege opschoning
- persoon b krijgt sessie, wordt opgeslagen in db, toevallig hetzelfde als persoon a zn oude sessie
- persoon a komt op site en is ingelogd als persoon b vanwege (extreem?) oude cookie
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
:strip_icc():strip_exif()/u/6143/rincewind.jpg?f=community)
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
Ja, ok. UserId ook clientside opslaan kan weinig kwaad natuurlijk. Soms kan t zo simpel zijn
Ik zie op T.net niet een cookie met userid overigens, hoe wordt dat hier opgelost?
Ik zie op T.net niet een cookie met userid overigens, hoe wordt dat hier opgelost?
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
:strip_exif()/u/47168/loop.gif?f=community)
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
1] Je weet het tijdstip van inloggen wellicht niet
2] Als client kan je niet zelf het sessie id forceren. Als dat wel kon, had je net zo goed een session fixation attack kunnen doen en veel eerder resultaat boeken.
Je hebt overigens wel gelijk voor wat betreft de seeding in PHP, daar zitten her en der wat rare dingetjes in.
{signature}
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
Duh, ik zei ook als je het weet, het was een voorbeeld waarbij ik liet zien dat het systeem zwaar compromised is als je het wél weet
Waar heb je dat voor nodig dan? Je kunt als client wel proberen in te loggen met een geforceerd sessie-id. Als dat sessie-id bestaat, dan log je dus in onder een andere user. Ik snap niet waarom je zelf een sessie zou willen starten met een geforceerd sessie-id eigenlijk...
Onjuist. Met een vaste seed krijg je een vaste sequence van waarden. Dus al genereer je sessie-ids van 10100 digits, als de seed maar 4 bits is heb je in totaal 16 verschillende sequences en hoeft een attacker dus ook maar max 16 verschillende sequences te proberen voor hij een match heeft gevonden (vooropgesteld dat hij het algo kent natuurlijk!). Sowieso is de parameter voor mt_srand() van het type int, dus je kunt met mt_srand() alleen nooit meer dan 232 verschillende sequences genereren. Wat je natuurlijk wel kunt doen is op basis van een goede entropy source een hele hoop bits van mt_rand() discarden, zodat je sequence niet afhangt van de seed alleen.
Dat heeft alleen te maken met het seeding algoritme zelf, dus hoe de MT wordt geïnitialiseerd adhv een bepaalde seed (bijvoorbeeld door te zorgen voor een betere uniforme distributie). Het zegt compleet niets over de daadwerkelijke seed zelf waarmee PHP de eerste keer mt_srand() aanroept. Mijn claim in mijn vorige post is gebaseerd op de 5.2.9 sourcecode
[ Voor 4% gewijzigd door .oisyn op 23-06-2009 13:24 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Ach, je komt natuurlijk een heel eind met educated guesses in sommige gevallen. Echt heel praktisch zal de aanval nou ook weer niet zijn.:
Duh, ik zei ook als je het weet, het was een voorbeeld waarbij ik liet zien dat het systeem zwaar compromised is als je het wél weet
Hmm, nooit bij stil gestaan... Ik heb nu op mijn testsysteem een versie gemaakt die gebruik maakt van de linux systeem random generator, /dev/urandom, die zou het dan toch weer een stuk lastiger moeten maken om de boel te voorspellen en de kans op dubbelen, ook in het geval van verwijderde id's, nog weer een stuk kleiner moeten maken.
Tenzij ik het natuurlijk weer helemaal mis heb
* ACM heeft de indruk dat we een beetje afgedwaald zijn hier.
/u/35984/crop67a0be11e3453_cropped.png?f=community)
Daarmee ga je er direct vanuit dat sessie-id niet gekoppeld is aan bepaalde user kenmerken. Een check op IP adres is bijvoorbeeld extreem simpel en dan heb je al nagenoeg niets meer aan dat hele sessie-ID (tenzij je beide via dezelfde proxy inlogt, maar ok). Ben het met je eens dat het colission-wise niet optimaal is, maar daar houdt het ook wel mee op
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
:strip_icc():strip_exif()/u/35767/images.jpg?f=community)
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
:strip_exif()/u/39092/wolkje-avatar3.gif?f=community){kind=avatar}
Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
:strip_icc():strip_exif()/u/190884/dug.jpg?f=community)
The #1 programmer excuse for legitimately slacking off: "My code's compiling"
Firesphere: Sommige mensen verdienen gewoon een High Five. In the Face. With a chair.
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
The #1 programmer excuse for legitimately slacking off: "My code's compiling"
Firesphere: Sommige mensen verdienen gewoon een High Five. In the Face. With a chair.
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
Pagina: 1