[Owasp-germany] Rotierte SessionIDs

Jan Wolff jan at w0lff.net
Sun Jul 21 06:03:58 UTC 2013


Hallo Stefan,

ich weiß nicht genau, ob ich richtig verstehe was Du mit Rotieren meinst.
Vielleicht kannst Du das genauer erklären oder eine Referenz auf eine
Guideline posten.

Wenn eine Webanwendung Nutzer authentisiert und Session Management
mit Cookies realisiert, sollten alle Seiten inklusive der Login-Seite
Verschlüsselung nutzen. Ansonsten stellt das ein Schwachstelle dar. Wenn
das nicht so ist, sollte das imho zuerst geändert werden bevor man über
andere Mechanismen nachdenkt. Abgesehen davon sollten die Sessions
aus Sicherheitsgründen nach einer gewissen Zeit ungültig werden, aber
das ist ein anderes Thema.

Sollte innerhalb des Session Managements eine Schutzlösung gegen CRSF
implementiert sein die Schutztoken einsetzt, dann wird im Idealfall nach
jedem Request ein neuer Token ausgestellt. Das hat aber nichts mit der
Verschlüsselung zu tun, sondern damit, dass die Token je nach Anwendung
auch auf andere Weise verloren gehen können, z.B. durch den Referer-Header
bei cross-domain Requests. Das Wechseln der Token nach jedem Request
ist aber relativ aufwändig, beeinflusst die Skalierbarkeit der Anwendung
negativ und kann Probleme bei einer Netzanbindung mit hohem Paketverlust
verursachen.

Grüße
Jan

On 21.07.2013 00:23, Stefan Pantke wrote:
> Hallo,
>
> dann und wann liest man dass sessionIDs rotiert werden sollten. In andere security guidelines liest man diesen Hinweis jedoch nicht.
>
> Sofern ein Angreifer EINEN http-request mitschneiden sollte, könnte eine rotierte ID nützlich sein - da bei seinem nächsten Angriff bereits eine neue gültig ist.
> Sofern ein Angreifer JEDEN http-request mitschneidet, könnte er hinreichend schnell eine noch gültige ID abfangen, die er dann für einen Angriff nutzt.
>
> Ob nach einer rotierten ID die vorherige ID noch genutzt werden kann, ist natürlich auch eine Frage der serverseitigen Anwendung.
>
> Andererseits sind die Kosten rotierter IDs zu vernachlässigen.
>
> Frage: Sollten sessionID rotiert werden, weil sie die Sicherheit erhöhen?
>
>
> Viele Grüße
>
> Stefan
>
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany



More information about the Owasp-germany mailing list