Re: SSL-Proxy sicher nutzen?

Es würde mich jetzt wundern, wenn irgendjemand von den anderen hier
mitbekommen hat was du eigentlich umsetzen willst?
Das du noch keine Antwort hast bestätigt dieses Gefühl.

Du redest immer von SSL Proxy, nirgends aber welches Problem du
eigentlich damit lösen willst.


Gruß Stefan

Manuel Reimer schrieb:
Hallo,

leider lassen sich die meisten Provider einen Zugang via SSL regelrecht
vergolden.

Allerdings bietet mein (eventuell zukünftiger) Provider einen SSL-Proxy.

Mit diesen Proxies sind allerdings immer auch Sicherheitslücken
verbunden. Die größte ist wohl das "Cross Site Scripting", da ja alles
von einer Domain kommt.

Wie kann ich einen solchen SSL-Proxy-Zugang nun ideal absichern? Ist ein
SSL-Proxy-Zugang überhaupt sicher zu bekommen? Wäre ein
unverschlüsselter Zugang einem Zugang via SSL-Proxy eventuell sogar
vorzuziehen? Welche alternativen Möglichkeiten gibt es, wenn man kein
SSL nutzen kann? Kann zumindest das Passwort verschlüsselt übertragen
werden?

Ich habe bisher folgende Ideen zur Absicherung des Zugangs:

Deaktiviertes Javascript
------------------------

Wenn JavaScript deaktiviert wird, dann fällt das XSS weg. Bleibt das
Risiko, dass die Session-ID via Cookie an eine Fremdseite geht. Das
lässt sich aber mit

http://de.php.net/manual/de/function.session-set-cookie-params.php

lösen. Einfach den Pfad auf den Pfad für das Cookie so festlegen, dass
es nur noch an die richtige Seite gesendet wird.

Aktiviertes Javascript
----------------------

Wenn JavaScript aktiv bleiben soll, dann reicht eine Cookie-Sicherung
nicht aus, da das Cookie ja via Script geholt werden kann. Hier dachte
ich dann ggf. an zwei Session-IDs. Die erste ID wird im Cookie geführt.
Die zweite ID wird von Seite zu Seite via Links und Formularen
weitergegeben und beim Login generiert. Eine Seite, die einfach so eine
URL meines Admin-Systems aufruft kann also bestenfalls eine der IDs
kennen. Passt eine der IDs nicht (oder fehlt), dann killt das
Admin-System die ganze Session (Logout).

Vielen Dank im Voraus für jeden Tipp

CU

Manuel

.

Relevant Pages

  • Session-Cookie per Javascript setzen?
    ... das schon beim Aufruf der Seite ein Cookie mit einem voreingestellten Wert gesetzt werden soll. ... Dieser Wert soll dann per Javascript überschrieben werden, wenn in einem Dropdown-Menü eine Auswahl getroffen wird. ...
    (de.comp.lang.javascript)
  • Re: Reality Check: Session Hijacking
    ... choice to force the visitor to accept session cookies to keep the session ... cookie is simply a cookie that dies when the browser is closed, ... Note that the visitor will not see the new URL in the browser (it still says ... implementing "if not SSL then unset isAuthenticated". ...
    (comp.lang.php)
  • Re: Authentication cookie security
    ... Is there any way besides using SSL to protect the cookie? ... I login using SSL to read my mail but then Hotmails switches to HTTP. ... have issues with replay attacks. ...
    (microsoft.public.dotnet.framework.aspnet.security)
  • Re: [PHP] security question
    ... My web hoster support a shared SSL protocol, ... anybody who can get ahold of your laptop/desktop can add cookie files. ... Okay, if you've installed some "forum" software or something, maybe ... software comes with its own whole new set of Security issues. ...
    (php.general)
  • Re: F: SSL, =?ISO-8859-1?Q?Seiten=FCbertragung=2C?= Quellcode, IE & Netscape
    ... beim Aufruf der Seite lautet: ... > Was bei der Umstellung noch aufgefallen ist: ... nur das Protokoll auf SSL umzustellen oder muss ich ... > noch einen Passwortschutz in die .htaccess eingebaut... ...
    (de.comp.security.misc)