Hallo!

Gibt es als Benutzer eigentlich Möglichkeiten Sessions zu manipulieren?
Ich würde nämlich gerne die Privilegien eines Nutzers ein der Session ablegen um nicht bei jeder Aktion in der Datenbank nachschlagen zu müssen, ob der Benutzer das darf.
Jetzt habe ich allerdings bedenken, dass der Benutzer irgendwie an der Session herumspielen könnte um sich Privilegien zu verschaffen, die er nicht haben sollte.
Geht sowas? Was sollte man als Sicherheitsvorkehrung machen?

Grüße, pktm

Traue niemals dem Client ;-)
Der Benutzer kann beliebige Cookies zurückschicken (so wie er auch beliebige Formdaten schicken kann), d.h. du solltest bei der Session-ID bleiben und die Privilegien Server-Seitig speichern.

Ja, nun habe ich es so eingebaut, dass ich in der Session die Privilegien zwar aufführe, aber bei der Ausführung dieser trotzdem nochmal die Berechtigungen prüfe.

du kannst das cookie höchstens so verschlüsseln, dass der benutzer nicht rausfindet, wie
er das cookie manipulieren kann.
da bleibt allerdings der unsicherheitsfaktor - was passiert, wenn aus irgendeinem grund
dann doch mal die verschlüsselungsmethode bzw. der key öffentlich wird?

Hm, ok - hier ein paar wohl ganz nützliche Details. Das verwendete System ist das CGI::Application::Plugin::Authorisation, welches im Endeffekt CGI::Session benutzt. Dabei wird ein Keks gesetzt, der die Session-ID beinhaltet. Diese ist bei mir nur für eine Browser-Sitzung gültig, und überwacht auf diesen Cookie.
Wenn man den Keks entschlüsseln möchte benötigt man dieses 'salt' richtig?
Das ist im Idealfall immer (bei jeder Installation) anders, aber gesetz dem Fall, dass Software auch mal nicht von mir installiert wird nicht mehr gewährleistet.

Gibt es noch andere Möglichkeiten an der Session zu schrauben außer über diesen Cookie?

Ich wuerde dem Benutzer nicht weit genug trauen. Da du die SessionID (die steht bei dir in der DB?) sowieso bei jedem Aufruf ueberpruefen solltest, kannst du ja vielleicht gleich bei der Abfrage nach der Session ID auch noch die Rechte/Rollen auslesen, dann kostet es kaum was.

strat: wenn man die sessiondaten verschlüsselt als cookie speichert, braucht man nicht
in der db nachzugucken. wobei ich selbst eine datenbanklösung bevorzugen würde.

pktm: salt kenne ich nur von crypt(), aber crypt() kann man ja nicht mehr entschlüsseln,
wenn dann solltest du einen algorithmus wählen, den man umkehren kann.