[umgesetzt] Forum SW: Set-Cookie Bitte mit HttpOnly Flag

[Patrik.S]

Ich hoffe die Anfrage artet nicht wieder in eine Diskussion aus, wie schon mal bei einer anderen Anfrage vor zwei Jahren das Forum nur auf https anzubieten oder zumindest den Login Dialog darüber zu leiten. 

Jedenfalls meine Bitte das Setzen des Cookies nur in Verbindung mit dem HttpOnly Flag zu versehen.
Das secure Flag wäre auch schön, dann müsste aber das Forum nur auf https laufen oder zumindest der Logindialog um das Cookie zu setzen....

Noch schöner wäre es natürlich auch das Forum mit einem CSRF Token abzusichern, dann reicht die PHPSESSID alleine (steht ja im Cookie...) zum Kapern nicht mehr aus.

Sichere und neueste Forensoftware hin oder her. Fehler und dadurch neue Wege gibt es ja leider immer wieder um einen JavaScript Code einzuschleusen.
Das HttpOnly Flag ist dann zumindest eine erste Hürde, den Cookie mit JS Mitteln nicht mehr auslesen zu können.


P.S. Ja ich weiss das es nur ein Forum ist und keine Steuerung für Atomkraftwerke.

[rudolfkoenig]

Kannst du bitte deinen Wunsch im Detail beschreiben? Ich sehe nur, dass wenn man http://forum.fhem.de aufruft, automatisch auf https umgeleitet wird.
Es waere auch nett konkret zu beschreiben, wie wir das umstellen sollen: nicht jeder macht sowas taeglich.

[Markus Bloch]

Hallo Patrik,

vielen Dank für den Hinweis. Leider werden beide Features nicht durch die Forum-Software nativ unterstützt.

Man kann httpOnly Cookies in SMF nur forcieren durch manuellen Eingriff in den Source-Code (https://www.simplemachines.org/community/index.php?topic=503970.0), man kann aber dennoch auf andere Weise an die SessionID kommen. Genau testen kann ich das gerade nicht.

Eine solche manuelle Modifikation macht es aber für die Zukunft sehr schwer noch saubere Updates zu installieren, da SMF Updates auf Diffs basieren.

Viele Grüße

Markus

[Patrik.S]

Wenn es die Foren SW nicht kann, dann macht es gleich zentral im Apache für alle VHosts oder einzeln nur für das Forum.

Dazu das mod_headers Modul laden und dann diese Zeilen setzen.
Einige Header werden ja schon gesetzt, ich zähle trotzdem mal einige auf die zusätzlich gesetzt werden sollten.
Die erste Zeile hängt immer an den Cookie die erwähnten zwei Parameter an.

Code Auswählen Erweitern


  Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
  Header always append X-Frame-Options SAMEORIGIN
  Header always append X-XSS-Protection "1; mode=block"
  Header always append X-Content-Type-Options nosniff
  Header always append Strict-Transport-Security "max-age=31536000; includeSubDomains"
  Header always append Cache-Control "no-store"


Bei der Gelegenheit würde ich dem Apache abgewöhnen seine Version preiszugeben, das ist für Produktivsysteme leider nicht der Default.
Daher

Code Auswählen Erweitern

ServerTokens Prod

[Markus Bloch]

Hallo Patrik,

ich habe die HttpOnly-Rule für Set-Cookie aktiviert und erfolgreich getestet, sowie auch die Signatur abgeschaltet. Vielen Dank für den Hinweis. Die anderen Header werden bereits im Forum durch die Foren-Software korrekt generiert.

Viele Grüße

Markus

[Patrik.S]

Danke. Eine weitere Sicherheitsbarriere ist aktiv.
Leider gibt's dann sicher noch die X anderen unentdeckten Möglichkeiten oder Kombinationen doch noch auszubrechen.

Bilder in Postings einbetten hatte ja scheinbar letztes Jahr für Aufruhr gesorgt. Eine harmlose "Posting Demoseite" hätte vielleicht alle Zweifler in Sekundenschnelle bekehrt und gezeigt was möglich ist.
Ein Img Link zu einem Javascript und schon wird es im Kontext der Seite ausgeführt. Hey ist ja gar kein Bild, aber JS den ich ausführen kann, der Browser macht's möglich.