sess_xxx Dateien im Verzeichnis /tmp

Thorsten

Thorsten

SSF Facilitymanagement
Staff member
Hallo!
Ich als 'nicht PHP Spezialist' habe mal eine simple Frage.
Im Verzeichnis /tmp finden sich Dateien mit Namen wie sess_d945225...

Inhaltlich folgendermaßen Aufgebaut
Code: 
password|s:32:"xxxxxxxxxxxxxxxxxxxxxx";username|s:7:"benutzername";
Mit welcher Anwendung diese im Zusammenhang stehen ist mir ersichtlich. Ist das ein 'normaler' Vorgang, oder ein schlecht programmiertes Script?

mfG
Thorsten
 
Passwöter unverschlüsselt in eine session zu schreiben ist eher nicht so genial. Das ist eine Sessiondatei, wie du vielleicht schon weißt.
Ich nehme mal an, dass "xxxx" nur eingesetzt wurde von dir.
Dadurch besteht rein theoretisch eine Sicherheitslücke.. den /tmp könnte von anderen Usern ausgelesen werden
....
 
Nicht ganz richtig, da normalerweise kein User auf die Temp-Dateien von PHP zugreifen kann. Also auslesen ist nicht drin.

Weisst du den welches Script dafür verantwortlich ist?
 
Hallo!
Passworte sind md5 verschlüsselt abgelegt. Das ist der PPHLogger Script.

mfG
Thorsten
 
Wenn du willst könntest du noch zusätzlich den Hashwert mit mcrypt verschlüsseln, was aber eigentlich nicht so viel Sinn macht, da wenn jemandem es gelingen würde das Sessionfile zu lesen es sowieso zu spät ist.
 
Man kann auch Paranoya bekommen, wenn man es übertreibt ;)
 
Hallo!
Na ja, zumindest der Benutzername steht in der Datei im Klartext.

mfG
Thorsten
 
Naja, bisschen unlogisch solche Informationen in einer Session zu speichern. Eigentlich würde da auch eine ID ausreichen, die dann eine session-db und andere Dinge dann auscheckt ausreichen.
 
So unlogisch ist das eigentlich nicht Usernamen oder Passwörter (als Hash) in einer Session aufzubewahren. Die Datenbank kann ich ja theoretisch auch auslesen wenn ich mich so auf dem Filesystem bewegen kann.
 
Thorsten said:
Ist das ein 'normaler' Vorgang, oder ein schlecht programmiertes Script?
Click to expand...
Schlechte Session-ID, aber auch ein schlecht aufgesetzter Server.
Jede Web-Account sollte sein eigenes phptmp haben und nicht die allgemeine /tmp nutzen.
Grund:
Es kann ein bösartiger Webber/webscript auf dem Server die Daten der Anderen auslesen um z.B. Sessions zu übernehmen.

huschi.
 
You must log in or register to reply here.
Back
Top