Sicherheitsproblem: Session-ids!

[tribun]

Hallo liebes XT:C-Team,

es war eine schlimme Nachricht, als ein Kunde (Shopbetreiber) berichtete, es w?re m?glich in seinem XTC-Shop die Daten fremder Personen einzusehen.
Die Story:
Ein Mensch sucht bei Google nach einem geswissen Produkt. Bereits das 2. Suchergebnis f?hrt ihn in den Shop des besagten Shop-Betreibers.
Allesdings bekommt er nicht nur das gew?nschte Produkt zusehen, sondern ist bereits als Herr Sowieso eingeloggt!
Es ist ihm m?glich, die Daten einer fremden Person einzusehen und eine Bestellung auf fremden Namen w?re kein Problem.
Da es sich aber hier um einen ehrlichen Menschen handelt, schreibt er dem (fast) gesch?digten Kunden des SHopbetreibers eine Email und sendet auch den Link mit ?ber den er den Shop betreten hatte (also das Google-Suchergebnis).
Der Google-Link enth?lt eine XTCsid.

Da der besagte Shopkunde verst?ndlicherweise umgehend seine Daten umgehend aus dem Shop hat l?schen lassen und s?mtliche Bestellungen stornierte, war es uns zum zeitpunkt der Meldung des Problems nicht mehr m?gflich, das Problem ?ber den Google-Link nachzuvollziehen.

Ein Test ergab, dass per ICQ ?bermittelte Links samt SID es jedoch anderen Personen erm?glichte, die Fremddaten einzusehen (Bei dem Test wurde sich nicht per "Ausloggen" abgemeldet).

Die Shopeinstellungen waren wie folgt:

Cookie Benutzung bevorzugen -> "False"
Checken der SSL Session ID -> "False"
Checken des User Browsers -> "False"
Checken der IP Adresse -> "False"
Spider Sessions vermeiden -> "False"
Sessions erneuern -> "False"

Das sind (glaube ich) die Standardeinstellungen nach der Installation.

Nach dem ?ndern der Einstellungen auf
Checken der IP Adresse -> "True"
war es immernoch m?glich (Auch nach schliessen des Browsers und l?schen der Cookies.)!

Dann wurde zus?tzlich
Checken der SSL Session ID -> "True"
eingestellt.

Das selbe Bild. Fremddaten konnten bei ?bermittlung einer URL samt SID eingesehen werden.

Umstellung auf
Sessions erneuern -> "True"

Und erst ab diesem Zeitpunkt war es nicht mehr m?glich, Sessions zu entf?hren.


Nun 3 Fragen:
- Sind die Standardeinstellungen des XTC-Shops (siehe oben) generell ein Sicherheitsproblem? Eigentlich d?rfte doch serverseitig das Entf?hren von Sessions bereits unm?glich sein.
- Wie konnte Google eine SID spidern, die bereits an einen Kunden vergeben war? Normalerweise d?rfte die SID doch nur 1x existieren. Google h?tte eine neue bekommen m?ssen!
- Haben wir es mit einem Sicherheitsleck beim Provider zu tun? Wenn ja: Wie k?nnen wir das dem Provider nachweisen?

Ich bin gespannt auf eure Antworten!

Gr??e
Tribun

[xt:mzanier]

Zitat:

- Sind die Standardeinstellungen des XTC-Shops (siehe oben) generell ein Sicherheitsproblem? Eigentlich d?rfte doch serverseitig das Entf?hren von Sessions bereits unm?glich sein.

eigentlich nein, da google normalerweise ohne SID spidert (sofern man den agent check aktiviert hat)

Zitat:

- Wie konnte Google eine SID spidern, die bereits an einen Kunden vergeben war? Normalerweise d?rfte die SID doch nur 1x existieren. Google h?tte eine neue bekommen m?ssen!

ist mir ein r?tsel, kann/soll normalerweise nicht vorkommen, au?er der kunde oder irgendjemand anders hat den link inkl session ID irgendwo gespeichert und google hat das gespidert (zb in nem forum), gab schon des?fteren solche probleme, doch dann hat sich immer rausgestellt das jemand den link zb zu einem produkt irgendwo gepostet hat(inkl SID)

Zitat:

- Haben wir es mit einem Sicherheitsleck beim Provider zu tun? Wenn ja: Wie k?nnen wir das dem Provider nachweisen?

m?sste man die serverlogs auswerten, um zu wissen woher google die SID hat.

[tribun]

Zitat:

Zitat:

eigentlich nein, da google normalerweise ohne SID spidert (sofern man den agent check aktiviert hat)

Tja. Aber agent-check ist nicht die Standardeinstellung und war bisher auch nicht aktiviert.
Ausserdem darf doch Google ohnehin auf keinen Fall eine bereits vergebene SID bekommen!
Da das vergeben der SIDs vom Server gemacht wird, bleibt die Frage:
Ist der Server unsicher?

Zitat:

ist mir ein r?tsel, kann/soll normalerweise nicht vorkommen, au?er der kunde oder irgendjemand anders hat den link inkl session ID irgendwo gespeichert und google hat das gespidert (zb in nem forum)

Das war definitiv nicht der Fall. Der Link war nirgends gepostet oder webseitig gespeichert. Google hat bereits mehrere Produkte des Shops samt SID indexiert (da agent-ckeck deaktiviert war).
Ein Problem ist das nun nicht mehr, da wir die Einstellungen von XT:C ge?ndert haben (siehe oben).
Trotzdem "liegt das Kind ja schon im Brunnen".

Zitat:

Zitat:

m?sste man die serverlogs auswerten, um zu wissen woher google die SID hat.

Auf die Serverlogs haben wir leider keinen Zugriff, da es sich um einen Multidomain-Hosting-Server handelt, nicht um einen dedizierten.

[tribun]

Nochwas: Die bei Google gespeicherte SID h?tte doch l?ngst verfallen sein m?ssen. Oder?

Hier die PHP-Session-Einstellungen des betroffenen Servers:

Session Support enabled
Registered save handlers files user

session.auto_start Off
session.bug_compat_42 On
session.bug_compat_warn On
session.cache_expire 180
session.cache_limiter nocache

Im Shop ist ?brigends sie Speicherung der Sessions in 'mysql' aktiviert (Denn bei der Speicherung in Dateien gab'S eine Fehlermeldung nach dem Admin-Logout...). Das kann ja kein Problem sein - oder?

[xt:mzanier]

da nicht der shop sessions IDS vergibt, sondern der server ist der wohl eine fehlerquelle, jedoch die vergabe von doppelten sids sollte auch net vorkommen.

Zitat:

Auf die Serverlogs haben wir leider keinen Zugriff, da es sich um einen Multidomain-Hosting-Server handelt, nicht um einen dedizierten.

dann w?rd ich den server wechseln, normalerweise hat man ?berall zugriff auf seine logs, sogar bei kleinen hosting packeten.

[tribun]

Zitat:

dann w?rd ich den server wechseln, normalerweise hat man ?berall zugriff auf seine logs, sogar bei kleinen hosting packeten.

Stimmt. Webalizer oder so hat er bestimmt und dann sollte das downloaden der Logs auch funktionieren... Mal sehen. K?mmere mich mal darum.

[insanctus]

EXAKT die selbe Situation hatte ich auch. Verst?rter Kunde rief an, warum man denn die Daten anderer Kunden einsehen k?nne.

Naja hab jetzt alles so eingestellt wie oben beschrieben.

Nur das problem ist: Die tausenden Links, die in Google jetzt drinstehen, stehen alle mit einer Session ID da drin. Kann da jetzt noch was passieren?

[peeeters]

jetzt habe ich fogende einstellung ge?ndert:

Sessions erneuern -> "True"

und kann mich gar nicht mehr neu einloggen !!

was nun?
kann ich das direkt in der datei r?ckg?ngig machen??


p3e

[peeeters]

ok, habs wieder. ist in der datenbank zu ?ndern.

[Steffen44]

kann mal jemand zusammenfassen was ge?ndert werden mu? ?

blicke nach dem langem Threath nicht mehr durch ...