Most Things Web

SEO and Web Security since 2006

SSEQ-LIB: Konfiguration

von · Veröffentlicht · Aktualisiert

Die Konfigurationsdatei befindet sich im Verzeichnis „sseq-lib“. Sie trägt den Dateinamen „seq_lib.php“.

Konfigurationsparameter

  • $_SEQ_BASEDIR
    • Absoluter Pfad zum Verzeichnis auf dem Webserver welches SSEQ-LIB enthält.
    • Erfolgt die Installation im obersten Verzeichnis des Servers, braucht hier nichts geändert werden. Dabei heißt das Verzeichnis auf dem Webserver „sseq-lib“.
    • Pfad muss immer mit einem Slash (/) abgeschlossen werden.
    • Der Standard ist:
      • $_SEQ_BASEDIR = $_SERVER[‚DOCUMENT_ROOT‘] . ‚/sseq-lib/‘;
  • $_SEQ_SECSESS
    • Erweitert die Daten der Sessionverwaltung von PHP um zusätzliche Sicherheitsmerkmale.
    • Erweiterte Daten sind transparent und beeinflussen den Anwendungscode nicht.
      • Es wird eine absolute Lebenszeit für die Sessiondaten festgelegt.
      • Es wird eine relative Lebenszeit für die Sessiondaten festgelegt.
      • Es wird die Lebenszeit (expiration date) des Cookie festgelegt.
      • Die Sessiondaten und das Cookie wird am Fingerabdruck des Browsers gebunden.
    • Der Standard ist:
      • $_SEQ_SECSESS = 1;
    • Mögliche Optionen:
      • 1
      • 0
  • $_SEQ_ONERROR_REDIRECT_TO
    • Leitet den Nutzer um, falls eine Parameterprüfung oder Tokenprüfung fehl schlägt.
      • Kann einen relativen oder absoluten Pfad enthalten.
    • Der Standard ist:
      • $_SEQ_ONERROR_REDIRECT_TO = ‚/index.php‘;
  • $_SEQ_SESSION_HEADERSCHECK
    • Erstellt und prüft den Fingerabdruck des Webbrowsers.
      • Die Sessiondaten werden am Fingerabdruck des Webbrowsers gebunden.
      • Ein Wechsel des Webbrowsers löscht die Sessiondaten und das Sessioncookie.
    • Der Standard ist:
      • $_SEQ_SESSION_HEADERSCHECK = 1;
    • Mögliche Optionen:
      • 1
      • 0
  • $_SEQ_ERRORS
    • Unterbindet Fehlermeldungen des PHP-Skriptes.
      • Der PHP-Interpreter wird angewiesen, Fehlermeldungen wenn möglich nicht anzuzeigen.
      • Die mit „SEQ_ERROR()“ ausgegebenen Fehlermeldungen werden unterbunden.
    • Der Standard ist:
      • $_SEQ_ERRORS = 0;
    • Mögliche Optionen:
      • 1
      • 0
  • $_SEQ_LOG
    • Es wird protokolliert, falls eine Parameterprüfung oder Tokenprüfung fehl schlägt.
      • Protokoll enthält einen Zeitstempel, IP-Adresse des Nutzers, Informationen über den Fehler, Quelle des Fehlers, Browser Agent des Nutzers
      • Bei stark frequentierten Webseiten kann die Protokolldatei schnell mehrere 100 MB groß werden!
    • Der Standard ist:
      • $_SEQ_LOG = 1;
    • Mögliche Optionen:
      • 1
      • 0
  • $_SEQ_SESSIONLIFETIME
    • Setzt die relative Lebenszeit des Sessioncookies fest.
      • Überschreibt Standardeinstellungen von PHP.
      • Die Lebenszeit wird jedes mal verlängert, wenn der Nutzer die Anwendung verwendet.
      • Wird die Anwendung innerhalb der Lebenszeit nicht verwendet, wird das Sessioncookie ungültig und die Session beendet.
    • Der Standard ist:
      • $_SEQ_SESSIONLIFETIME = 7200;
      • 7200 Sekunden: 2 Stunden
    • Mögliche Optionen:
      • Lebenszeit in Sekunden.
  • $_SEQ_SESSIONABSOLUTELIFETIME
    • Setzt die absolute Lebenszeit der Sessiondaten und des Sessioncookies fest.
      • Die Lebenszeit wird durch Nutzung der Anwendung nicht verlängert.
      • Nach Ablauf der absoluten Lebenszeit wird das Sessioncookie ungültig und die Session beendet.
    • Der Standard ist:
      • $_SEQ_SESSIONABSOLUTELIFETIME = 21600;
      • 21600 Sekunden: 6 Stunden
    • Mögliche Optionen:
      • Lebenszeit in Sekunden.
  • $_SEQ_SESSIONREFRESH
    • Setzt die absolute Lebenszeit der Session-ID fest.
      • Nach Ablauf der Lebenszeit wird eine neue Session-ID und ein neues Session-Cookie generiert.
      • Alle Sessiondaten werden in die neue Session übertragen.
    • Der Standard ist:
      • $_SEQ_SESSIONREFRESH = 0;
      • 0 Sekunden: bei jedem Aufruf neue Session-ID generieren
    • Mögliche Optionen:
      • Lebenszeit in Sekunden.
  • $_SEQ_IDS_ONATTACK_ACTION
    • Reaktion bei fehlgeschlagener Typenprüfung, abgelaufenen Tokens.
      • Einzelne Reaktionen werden als Worte durch ein Leerzeichen getrennt, aufgezählt.
      • Sie können kombiniert werden: „delay redirect“ pausiert die Antwort 50 Sekunden und leitet den Nutzer dann um.
      • „redirect“ leitet zu der mit $_SEQ_ONERROR_REDIRECT_TO definierten Seite.
    • Der Standard ist:
      • $_SEQ_IDS_ONATTACK_ACTION = “;
      • Reaktionen sind abgeschaltet.
    • Mögliche Optionen:
      • delay
        • Verzögert die Antwort des Servers um 50 Sekunden.
      • logout
        • Löscht die aktuellen Sessiondaten und das Sessioncookie.
      • redirect
        • Leitet den Nutzer zu einer relativen oder absoluten URL um.

    Themenverwandt:

    1. SSEQ-LIB: Installation (11.6) SSQL-LIB hat kein Installationskript und muss nicht mit PHP oder...
    2. SSEQ-LIB Security Update 0.6.3 and 0.6.3.1 (6.8) I am so sorry! While redesigning the CSRF-tokens check routines...
    3. Session Fixation in osCommerce und xt:Commerce (6) Es wird von eine „Session Fixation“-Schwachstelle in den Shopsystemen von...
    4. Ausgaben gegen Cross-Site-Scripting sichern (6) Diese Anleitung setzt die einfache Installation von SSEQ-LIB auf dem...
    5. Datenbankabfragen gegen SQL-Injection sichern (5.9) Diese Anleitung setzt die einfache Installation von SSEQ-LIB auf dem...

    Schlagwörter:

    Das könnte dich auch interessieren …

    4 Antworten

    1. Thorsten sagt:
      5. September 2011 um 19:22 Uhr   (Bearbeiten)

      Hi, wollte fragen wie Aktuell bzw. „sicher“ diese libary noch ist?

    2. admin sagt:
      3. Juni 2012 um 22:38 Uhr   (Bearbeiten)

      Sie ist noch genauso sicher wie am ersten Tag :) Die Schutzmassnahmen sind nicht alt geworden.