Autor Thema: [umgesetzt] Forum SW: Set-Cookie Bitte mit HttpOnly Flag  (Gelesen 588 mal)

Offline Patrik.S

  • Jr. Member
  • **
  • Beiträge: 57
Ich hoffe die Anfrage artet nicht wieder in eine Diskussion aus, wie schon mal bei einer anderen Anfrage vor zwei Jahren das Forum nur auf https anzubieten oder zumindest den Login Dialog darüber zu leiten.  ;)

Jedenfalls meine Bitte das Setzen des Cookies nur in Verbindung mit dem HttpOnly Flag zu versehen.
Das secure Flag wäre auch schön, dann müsste aber das Forum nur auf https laufen oder zumindest der Logindialog um das Cookie zu setzen....

Noch schöner wäre es natürlich auch das Forum mit einem CSRF Token abzusichern, dann reicht die PHPSESSID alleine (steht ja im Cookie...) zum Kapern nicht mehr aus.

Sichere und neueste Forensoftware hin oder her. Fehler und dadurch neue Wege gibt es ja leider immer wieder um einen JavaScript Code einzuschleusen.
Das HttpOnly Flag ist dann zumindest eine erste Hürde, den Cookie mit JS Mitteln nicht mehr auslesen zu können.


P.S. Ja ich weiss das es nur ein Forum ist und keine Steuerung für Atomkraftwerke.
« Letzte Änderung: 24 Juli 2017, 20:40:59 von Patrik.S »

Offline rudolfkoenig

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 17692
Antw:Forum SW: Set-Cookie Bitte mit HttpOnly Flag
« Antwort #1 am: 21 Juli 2017, 08:01:15 »
Kannst du bitte deinen Wunsch im Detail beschreiben? Ich sehe nur, dass wenn man http://forum.fhem.de aufruft, automatisch auf https umgeleitet wird.
Es waere auch nett konkret zu beschreiben, wie wir das umstellen sollen: nicht jeder macht sowas taeglich.

Offline Markus Bloch

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 3291
Antw:Forum SW: Set-Cookie Bitte mit HttpOnly Flag
« Antwort #2 am: 21 Juli 2017, 09:24:52 »
Hallo Patrik,

vielen Dank für den Hinweis. Leider werden beide Features nicht durch die Forum-Software nativ unterstützt.

Man kann httpOnly Cookies in SMF nur forcieren durch manuellen Eingriff in den Source-Code (https://www.simplemachines.org/community/index.php?topic=503970.0), man kann aber dennoch auf andere Weise an die SessionID kommen. Genau testen kann ich das gerade nicht.

Eine solche manuelle Modifikation macht es aber für die Zukunft sehr schwer noch saubere Updates zu installieren, da SMF Updates auf Diffs basieren.

Viele Grüße

Markus

Developer für Module: YAMAHA_AVR, YAMAHA_BD, FB_CALLMONITOR, FB_CALLLIST, PRESENCE, Pushsafer, LGTV_IP12, version

aktives Mitglied des FHEM e.V. (Technik)

Offline Patrik.S

  • Jr. Member
  • **
  • Beiträge: 57
Antw:Forum SW: Set-Cookie Bitte mit HttpOnly Flag
« Antwort #3 am: 21 Juli 2017, 22:15:09 »
Wenn es die Foren SW nicht kann, dann macht es gleich zentral im Apache für alle VHosts oder einzeln nur für das Forum.

Dazu das mod_headers Modul laden und dann diese Zeilen setzen.
Einige Header werden ja schon gesetzt, ich zähle trotzdem mal einige auf die zusätzlich gesetzt werden sollten.
Die erste Zeile hängt immer an den Cookie die erwähnten zwei Parameter an.

  Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
  Header always append X-Frame-Options SAMEORIGIN
  Header always append X-XSS-Protection "1; mode=block"
  Header always append X-Content-Type-Options nosniff
  Header always append Strict-Transport-Security "max-age=31536000; includeSubDomains"
  Header always append Cache-Control "no-store"

Bei der Gelegenheit würde ich dem Apache abgewöhnen seine Version preiszugeben, das ist für Produktivsysteme leider nicht der Default.
DaherServerTokens Prod

Offline Markus Bloch

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 3291
Antw:Forum SW: Set-Cookie Bitte mit HttpOnly Flag
« Antwort #4 am: 22 Juli 2017, 10:36:35 »
Hallo Patrik,

ich habe die HttpOnly-Rule für Set-Cookie aktiviert und erfolgreich getestet, sowie auch die Signatur abgeschaltet. Vielen Dank für den Hinweis. Die anderen Header werden bereits im Forum durch die Foren-Software korrekt generiert.

Viele Grüße

Markus
Developer für Module: YAMAHA_AVR, YAMAHA_BD, FB_CALLMONITOR, FB_CALLLIST, PRESENCE, Pushsafer, LGTV_IP12, version

aktives Mitglied des FHEM e.V. (Technik)

Offline Patrik.S

  • Jr. Member
  • **
  • Beiträge: 57
Antw:Forum SW: Set-Cookie Bitte mit HttpOnly Flag
« Antwort #5 am: 24 Juli 2017, 20:40:35 »
Danke. Eine weitere Sicherheitsbarriere ist aktiv.
Leider gibt's dann sicher noch die X anderen unentdeckten Möglichkeiten oder Kombinationen doch noch auszubrechen.

Bilder in Postings einbetten hatte ja scheinbar letztes Jahr für Aufruhr gesorgt. Eine harmlose "Posting Demoseite" hätte vielleicht alle Zweifler in Sekundenschnelle bekehrt und gezeigt was möglich ist.
Ein Img Link zu einem Javascript und schon wird es im Kontext der Seite ausgeführt. Hey ist ja gar kein Bild, aber JS den ich ausführen kann, der Browser macht's möglich.