Sicherheitsproblem: Session-ids!

[tribun]

Hallo liebes XT:C-Team,

es war eine schlimme Nachricht, als ein Kunde (Shopbetreiber) berichtete, es w?re m?glich in seinem XTC-Shop die Daten fremder Personen einzusehen.

Die Story:

Ein Mensch sucht bei Google nach einem geswissen Produkt. Bereits das 2. Suchergebnis f?hrt ihn in den Shop des besagten Shop-Betreibers.

Allesdings bekommt er nicht nur das gew?nschte Produkt zusehen, sondern ist bereits als Herr Sowieso eingeloggt!

Es ist ihm m?glich, die Daten einer fremden Person einzusehen und eine Bestellung auf fremden Namen w?re kein Problem.

Da es sich aber hier um einen ehrlichen Menschen handelt, schreibt er dem (fast) gesch?digten Kunden des SHopbetreibers eine Email und sendet auch den Link mit ?ber den er den Shop betreten hatte (also das Google-Suchergebnis).

Der Google-Link enth?lt eine XTCsid.

Da der besagte Shopkunde verst?ndlicherweise umgehend seine Daten umgehend aus dem Shop hat l?schen lassen und s?mtliche Bestellungen stornierte, war es uns zum zeitpunkt der Meldung des Problems nicht mehr m?gflich, das Problem ?ber den Google-Link nachzuvollziehen.

Ein Test ergab, dass per ICQ ?bermittelte Links samt SID es jedoch anderen Personen erm?glichte, die Fremddaten einzusehen (Bei dem Test wurde sich nicht per "Ausloggen" abgemeldet).

Die Shopeinstellungen waren wie folgt:

Cookie Benutzung bevorzugen -> "False"

Checken der SSL Session ID -> "False"

Checken des User Browsers -> "False"

Checken der IP Adresse -> "False"

Spider Sessions vermeiden -> "False"

Sessions erneuern -> "False"

Das sind (glaube ich) die Standardeinstellungen nach der Installation.

Nach dem ?ndern der Einstellungen auf

Checken der IP Adresse -> "True"

war es immernoch m?glich (Auch nach schliessen des Browsers und l?schen der Cookies.)!

Dann wurde zus?tzlich

Checken der SSL Session ID -> "True"

eingestellt.

Das selbe Bild. Fremddaten konnten bei ?bermittlung einer URL samt SID eingesehen werden.

Umstellung auf

Sessions erneuern -> "True"

Und erst ab diesem Zeitpunkt war es nicht mehr m?glich, Sessions zu entf?hren.

Nun 3 Fragen:

- Sind die Standardeinstellungen des XTC-Shops (siehe oben) generell ein Sicherheitsproblem? Eigentlich d?rfte doch serverseitig das Entf?hren von Sessions bereits unm?glich sein.

- Wie konnte Google eine SID spidern, die bereits an einen Kunden vergeben war? Normalerweise d?rfte die SID doch nur 1x existieren. Google h?tte eine neue bekommen m?ssen!

- Haben wir es mit einem Sicherheitsleck beim Provider zu tun? Wenn ja: Wie k?nnen wir das dem Provider nachweisen?

Ich bin gespannt auf eure Antworten!

Gr??e

Tribun

[mzanier]

- Sind die Standardeinstellungen des XTC-Shops (siehe oben) generell ein Sicherheitsproblem? Eigentlich d?rfte doch serverseitig das Entf?hren von Sessions bereits unm?glich sein.

eigentlich nein, da google normalerweise ohne SID spidert (sofern man den agent check aktiviert hat)

- Wie konnte Google eine SID spidern, die bereits an einen Kunden vergeben war? Normalerweise d?rfte die SID doch nur 1x existieren. Google h?tte eine neue bekommen m?ssen!

ist mir ein r?tsel, kann/soll normalerweise nicht vorkommen, au?er der kunde oder irgendjemand anders hat den link inkl session ID irgendwo gespeichert und google hat das gespidert (zb in nem forum), gab schon des?fteren solche probleme, doch dann hat sich immer rausgestellt das jemand den link zb zu einem produkt irgendwo gepostet hat(inkl SID)

- Haben wir es mit einem Sicherheitsleck beim Provider zu tun? Wenn ja: Wie k?nnen wir das dem Provider nachweisen?

m?sste man die serverlogs auswerten, um zu wissen woher google die SID hat.

[tribun]

eigentlich nein, da google normalerweise ohne SID spidert (sofern man den agent check aktiviert hat)

Tja. Aber agent-check ist nicht die Standardeinstellung und war bisher auch nicht aktiviert.

Ausserdem darf doch Google ohnehin auf keinen Fall eine bereits vergebene SID bekommen!

Da das vergeben der SIDs vom Server gemacht wird, bleibt die Frage:

Ist der Server unsicher?

ist mir ein r?tsel, kann/soll normalerweise nicht vorkommen, au?er der kunde oder irgendjemand anders hat den link inkl session ID irgendwo gespeichert und google hat das gespidert (zb in nem forum)

Das war definitiv nicht der Fall. Der Link war nirgends gepostet oder webseitig gespeichert. Google hat bereits mehrere Produkte des Shops samt SID indexiert (da agent-ckeck deaktiviert war).

Ein Problem ist das nun nicht mehr, da wir die Einstellungen von XT:C ge?ndert haben (siehe oben).

Trotzdem "liegt das Kind ja schon im Brunnen".

m?sste man die serverlogs auswerten, um zu wissen woher google die SID hat.

Auf die Serverlogs haben wir leider keinen Zugriff, da es sich um einen Multidomain-Hosting-Server handelt, nicht um einen dedizierten.

[tribun]

Nochwas: Die bei Google gespeicherte SID h?tte doch l?ngst verfallen sein m?ssen. Oder?

Hier die PHP-Session-Einstellungen des betroffenen Servers:

Session Support enabled

Registered save handlers files user

session.auto_start Off

session.bug_compat_42 On

session.bug_compat_warn On

session.cache_expire 180

session.cache_limiter nocache

Im Shop ist ?brigends sie Speicherung der Sessions in 'mysql' aktiviert (Denn bei der Speicherung in Dateien gab'S eine Fehlermeldung nach dem Admin-Logout...). Das kann ja kein Problem sein - oder?

[mzanier]

da nicht der shop sessions IDS vergibt, sondern der server ist der wohl eine fehlerquelle, jedoch die vergabe von doppelten sids sollte auch net vorkommen.

Auf die Serverlogs haben wir leider keinen Zugriff, da es sich um einen Multidomain-Hosting-Server handelt, nicht um einen dedizierten.

dann w?rd ich den server wechseln, normalerweise hat man ?berall zugriff auf seine logs, sogar bei kleinen hosting packeten.

[tribun]

dann w?rd ich den server wechseln, normalerweise hat man ?berall zugriff auf seine logs, sogar bei kleinen hosting packeten.

Stimmt. Webalizer oder so hat er bestimmt und dann sollte das downloaden der Logs auch funktionieren... Mal sehen. K?mmere mich mal darum.

[insanctus]

EXAKT die selbe Situation hatte ich auch. Verst?rter Kunde rief an, warum man denn die Daten anderer Kunden einsehen k?nne.

Naja hab jetzt alles so eingestellt wie oben beschrieben.

Nur das problem ist: Die tausenden Links, die in Google jetzt drinstehen, stehen alle mit einer Session ID da drin. Kann da jetzt noch was passieren?

[peeeters]

jetzt habe ich fogende einstellung ge?ndert:

Sessions erneuern -> "True"

und kann mich gar nicht mehr neu einloggen !!

was nun?

kann ich das direkt in der datei r?ckg?ngig machen??

p3e

[peeeters]

ok, habs wieder. ist in der datenbank zu ?ndern.

[Steffen44]

kann mal jemand zusammenfassen was ge?ndert werden mu? ?

blicke nach dem langem Threath nicht mehr durch ...

[derschoenemann_de]

kann mal jemand zusammenfassen was ge?ndert werden mu? ?

blicke nach dem langem Threath nicht mehr durch ...

ahem, geht mir genau so.

gruesse.

robin

[sff]

Gibt es noch mehr solcher F?lle?

Konnte inzwischen die Fehlerursache nachvollzogen werden?

Interessant w?ren Beispiel-URL, falls das jemand preisgeben w?rde...

[ace]

Eine eindeutige Antwort oder besser noch eine Empfehlung wie man die verschiedenen Session-Einstellungen vornehmen sollte, w?re wirklich gut!

Zumaldem wenn ich das richtig sehe kann das vielen Usern passieren und nicht jeder muss zwangsl?ufig mit einem blauen Auge davon kommen! (Heikles Thema wenns um Kundendaten-Sicherheit geht!)

Was ich auch nicht ganz verstehe:

Viele XTC-User meinen es mit der Sicherheit gut und aktivieren den Punkt: Sessions erneuern (True) und konnten sich danach nicht wieder als Admin einloggen!

Wie wird das Problem gel?st???

Doch wohl nicht dadurch in der Datenbank die Settings wieder auf 'False' zur?ck zu stellen, womit dann ja wieder keine neuen Session IDs vergeben werden!

[Hanjo]

... ich fasse die notwendigen ?nderungen (unverbindlich?!) f?r mich und v2 rc1.2 mal zusammen:

- Spider Sessions vermeiden -> aur "true"

- Sessions erneuern -> auf "true"

- Browser Agent checken -> auf "true"

[...und session.referer_check auf "www.eigenedomain.de" ]

[smedder]

Nochmal ein Tipp am Rande f?r diejenigen, deren Shops schon mit Sessions gespiedert wurden.

Das hier k?nnte ganz hilfreich sein, um die Eintr?ge wieder zu entfernen: http://www.google.de/webmasters/remove.html