DocCheck: Parameter-Übergabe

Der folgende Artikel richtet sich an Webseitenentwickler und ITler. Allgemeine Informationen zu unserer Economy-Lizenz finden Sie hier

1 Warum Parameter?

Parameter wie z.B. Session-IDs können einen direkten Einstieg - beispielsweise durch Eingabe der Ziel-URL im Browser - verhindern und sichern Ihre Website so nahezu hundertprozentig ab. Das Setzen einer Session-ID muss dabei durch Ihre Webseite erfolgen.

2 Möglichkeiten

2.1 Durchsschleifen einer Session-ID durch den Login

Eine Session-ID kann als Parameter durch den DocCheck-Login hindurch übergeben werden. Diese Art Absicherung wird von uns empfohlen, da sie auch bei deaktivierten Cookies funktioniert. Die Parameter-Übergabe und die optionale Verschlüsselung sind Bestandteil der Lizenzen Economy und Business. Der Aufruf des geschützten Bereiches ist über ein Bookmark oder einen weitergegebenen Link nur noch möglich, wenn die aktuelle Session noch nicht abgelaufen ist oder der Nutzer sich eine neue gültige Session-ID besorgt und sich damit Zugang verschafft. Ersteres lässt sich vermeiden, indem Sie auf Ihrer Website die Session an die IPAdresse des Nutzers binden. So funktioniert ein weitergegebener Link auch bei gültiger Session-ID nicht. Gegen letzteres Risiko schützt die zusätzliche Parameter-Verschlüsselung.

Wenn weitere Parameter Ihrer Website übergeben werden sollen, können diese einfach angehängt werden: https://login.doccheck.com/code/12345/de/xl_red/session_id=abcd/ok=1

Es wird dabei empfohlen alle nicht-alphanummerischen Zeichen mit ihren entsprechenden Hex-Codes gemäß RFC abzubilden

https://login.doccheck.com/code/12345/de/xl_red/x=y%20%3Fz%3E

WICHTIG: Die Funktionalität des Zugangs zum geschützten Bereich darf von keinem dieser Parameter abhängig gemacht werden:

  • die URL login.doccheck.com (bei evtl. Referer-Checks)
  • die IP-Adressen der DocCheck-Server
  • die Übergabe nicht dokumentierter Parameter ("dc=1")

2.2 Verschlüsselung eines Parameters

Als zusätzliche Sicherungsmaßnahme kann die Session-ID während der Passwortabfrage mit einer Prüfsumme versehen werden. Dies verhindert, dass ein Nutzer durch Abgreifen einer gültigen Session-ID direkt auf den geschützten Bereich zugreifen kann. Mit der Economy- oder Business-Lizenz erhalten Sie von DocCheck einen geheimen Schlüssel, z.B. "L337P455". Zu der als Parameter "session_id" übergebenen Session-ID wird beim Login-Vorgang mittels MD5 (session_id . "L337P455") eine Prüfsumme berechnet. Diese Prüfsumme wird zusätzlich zur Session-ID als "session_id_enc" zurückgegeben. Auf der Zielseite kann Ihre Website mit derselben Methode überprüfen, ob die Prüfsumme korrekt ist.

Finden Sie hier ein Beispiel

2.3 Setzen einer Session-Variablen im Cookie

Voraussetzung für das Setzen einer Session-Variablen ist ein dynamischer Seitenaufbau, z.B. mit ASP, ColdFusion, PHP etc. Das Setzen der Session-Variablen muss durch Ihre Webseite erfolgen.

Ihre Website setzt vor dem Login (z.B. auf der Login-Seite) eine Session-ID und speichert diese in einem Cookie. Nach dem Login fragt Ihre Website das Cookie im geschützten Bereich wieder ab. Ist es nicht gesetzt oder die betreffende Session bereits abgelaufen, kann Ihre Website den Zugang verweigern. Nachteil: Nutzer, die keine Cookies akzeptieren, können den geschützten Bereich nicht betreten.

3 Nicht empfohlene Sicherheitsmaßnahmen

Die Abfrage des Referrers empfehlen wir generell nicht, da sie stark browserabhängig ist. Ebenso raten wir von einem .htaccess-Schutz ab, da aktuelle Browser die Umgehung einer solchen durch Aufruf der URL http://login:password@www.webserver.xy nicht mehr unterstützen.

Um diesen Artikel zu kommentieren, melde Dich bitte an.

Klicke hier, um einen neuen Artikel im DocCheck Flexikon anzulegen.

Letzte Autoren des Artikels:

0 Wertungen (0 ø)

1.359 Aufrufe

Hast du eine allgemeine Frage?
Hast du eine Frage zum Inhalt?
Copyright ©2020 DocCheck Medical Services GmbH | zur mobilen Ansicht wechseln
DocCheck folgen: