4 in 1 - Medieninformatik - Hochschule RheinMain

Weitere Magazine

Empfehlungen

Info

Grundlagen Web Zustandsverwaltung über Anfrage hinaus Grundlagen Web Zustandsverwaltung über Anfrage hinaus Cookies – Übertragung Cookies setzen und lesen setcookie.cgi Übertragung – HTTP, RFC 2109/6265 Manuell – CGI 1 #!/usr/bin/python • Teil des HTTP-Headers • Set-Cookie: =, Cookie: = • PATH= • Header Set-Cookie • Auslesen aus Umgebungsvariable HTTP_COOKIE • Inhalt sind Schlüssel=Wert Paare 2 from datetime import datetime 3 print "Set-Cookie: jetzt="+ str(datetime.now()) 4 print "Content-Type: text/html\n" 5 import cgi, cgitb 6 cgitb.enable() 7 import os 8 print "Cookie is: "+str(os.environ["HTTP_COOKIE"]) • SECURE (optional) Mit Standardbibliothek • URL-encodiert (cgi.escape), %FF • Cookies auf dem Server mit Cookie Ablauf – Beispiel • Server schickt Set-Cookie-Header als Teil der Antwort auf eine Anfrage • Ab da schickt der Browser immer wieder das Cookie in der Anfrage mit Cookie-Header • Mehrere Cookies in dem einen Header-Feld Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 61 / 91 • Cookie.SimpleCookie als einfache Abstraktion • Schreiben und Lesen • Mehrere Schlüsselwert-Paare im Beispiel Set-Cookie: jetzt="2013-03-11 19:52:47.505760"; Path=/ • Löschen: Leerer Inhalt und überschrittenes Verfallsdatum 1 #!/usr/bin/python 2 from datetime import datetime 3 import os, cgi, Cookie 4 cookie = Cookie.SimpleCookie() 5 cookie["jetzt"] = str(datetime.now()) 6 cookie["jetzt"]["path"] = "/" 7 print cookie.output() 8 print "Content-Type: text/html\n" 9 rc = Cookie.SimpleCookie(os.environ["HTTP_COOKIE"]) 10 print "Cookie is: "+rc["jetzt"].value 11 print cookie.output() Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 62 / 91 Grundlagen Web Zustandsverwaltung über Anfrage hinaus Grundlagen Web Zustandsverwaltung über Anfrage hinaus Kontext im Client – Cookies Kontext im Client – Sichere Cookies Cookie als Träger des Anwendungskontextes • Schlüssel/Wert-Paare in Cookies • Alternativ zusammenpacken als Query-String in einem Cookie möglich Weitergabe zum Browser • set_cookie • Automatisch, über Header Auswertung/Wiederherstellung • Mit request.cookies 1 from werkzeug.wrappers import Request, Response 2 import cgi, Cookie 3 4 def render_context(content, context): 5 response = Response(content, 6 content_type="text/html") 7 for k,v in context.iteritems(): 8 v = cgi.escape(unicode(v), True) 9 response.set_cookie(k, v) 10 return response 11 12 @Request.application 13 def application(request): 14 ctx, args = {}, request.args 15 ctx[’a’] = args[’a’] if ’a’ in args else ’A’ 16 ctx[’b’] = args[’b’] if ’b’ in args else ’B’ 17 ctx[’z’] = int(args[’z’]) if ’z’ in args else 0 18 ctx[’z’] += 17 19 c = [] 20 response = render_context(c, ctx) 21 c.append(’’) 23 c.append(’’) 24 for k,v in request.cookies.iteritems(): 25 c.append("%s: %s\n" % (k, v)) 26 return response Verschlüsseln der Daten auf dem Client • Schwierig zu lesen, schwierig zu manipulieren • Einfache Sicherung von Manipulation: Fingerabdruck Verhindern von Manipulationen • Wenn Daten verändert wurden, dann stimmt der “Fingerabdruck” der Daten nicht mehr • Standardalgorithmus SHA1 • Eingabe ist beliebiger String (Zahl) • Ergebnis ist ein 160-Bit Message-Digest (meist als Hex-String dargestellt) Python und SHA1 • hashlib.sha1(message).hexdigest() RFC 3174 “ The SHA-1 is called secure because it is computationally infeasible to find a message which corresponds to a given message digest, or to find two different messages which produce the same message digest. Any change to a message in transit will, with very high probability, result in a different message digest, and the signature will fail to verify.” Geheimes Salz • Nachricht muss (teilweise) geheim sein, sonst kann Digest berechnet werden • Lösung: Hinzufügen eines geheimen “Salzes” (Salt), ein beliebiger String a99219f952208c68c30cb4a99cf9d7902e395702 Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 63 / 91 Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 64 / 91
Grundlagen Web Zustandsverwaltung über Anfrage hinaus Grundlagen Web Zustandsverwaltung über Anfrage hinaus Kontext im Client – Sichere Cookies, Beispiel Kontext im Client – Sichere Cookies, werkzeug ctxlib.py 1 import urllib, hashlib, urlparse 2 3 SALT="secret" 4 CONTEXT, FP = "context", "fingerprint" 5 def render_context(response, context): 6 ctx = urllib.urlencode(context) 7 response.set_cookie(CONTEXT, ctx) 8 fp = hashlib.sha1(ctx+SALT).hexdigest() 9 response.set_cookie(FP, fp) 10 11 def restore_context(request): 12 if CONTEXT not in request.cookies: 13 return {} 14 if FP not in request.cookies: 15 raise Exception("Security Error") 16 ctx = request.cookies[CONTEXT] 17 fp = hashlib.sha1(ctx+SALT).hexdigest() 18 if fp != request.cookies[FP]: 19 raise Exception("Security Error") 20 ret = urlparse.parse_qs(ctx) 21 for k in ret: # nur ein Wert 22 ret[k] = "".join(ret[k]) 23 return ret 1 from werkzeug.wrappers import Request, Response 2 import cgi, Cookie, ctxlib 3 4 form = """""" 6 7 @Request.application 8 def application(request): 9 ctx = ctxlib.restore_context(request) 10 if ’a’ not in ctx: # uninitialisiert 11 ctx[’a’], ctx[’b’] = ’A’, ’B’ 12 ctx[’z’] = ’0’ 13 c = [form] 14 for k,v in ctx.iteritems(): 15 c.append("%s: %s\n" % (k, "".join(v))) 16 ctx[’z’] = int(ctx[’z’]) # Typkonversion 17 ctx[’z’] += 17 # Zustandsfortschritt 18 response = Response(c,content_type="text/html") 19 ctxlib.render_context(response, ctx) 20 return response SecureCookie in werkzeug • Teil der Erweiterungen • Verfolgt vorgestelltes Prinzip • Leeres Dictionary bei Manipulation ctxlibwerkzeug.py 1 import werkzeug.contrib.securecookie as sc 2 3 SALT="secret" 4 CONTEXT="context" 5 def render_context(response, ctx): 6 scs = sc.SecureCookie(ctx, SALT).serialize() 7 response.set_cookie(CONTEXT, scs) 8 9 def restore_context(request): 10 if CONTEXT not in request.cookies: 11 return {} 12 scs = request.cookies[CONTEXT] 13 ctx = sc.SecureCookie.unserialize(scs, SALT) 14 if not ctx: 15 raise Exception("Security Error") 16 return ctx 1 from werkzeug.wrappers import Request, Response 2 import cgi, Cookie, ctxlibwerkzeug as ctxlib 3 4 form = """""" 6 7 @Request.application 8 def application(request): 9 ctx = ctxlib.restore_context(request) 10 if ’a’ not in ctx: # uninitialisiert 11 ctx[’a’], ctx[’b’] = ’A’, ’B’ 12 ctx[’z’] = 0 13 c = [form] 14 for k,v in ctx.iteritems(): # Typ bleibt int 15 c.append("%s:%s\n"%(k,"".join(str(v)))) 16 # keine Typkonversion mehr notwendig 17 ctx[’z’] += 17 # Zustandsfortschritt 18 response = Response(c,content_type="text/html") 19 ctxlib.render_context(response, ctx) 20 return response • Serialisierung nicht als Querystring, default pickle • Typinformation bleibt erhalten Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 65 / 91 Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 66 / 91 Grundlagen Web Zustandsverwaltung über Anfrage hinaus Grundlagen Web Zustandsverwaltung über Anfrage hinaus Anwendungskontext im Server Session-Identifikation im Web-Browser Verwalten des Anwendungskontextes in der Web-Anwendung im Server • Ein Datensaz je Session • Session-Identifikation über Browser notwendig Vorteile • HTTP ist zustandslos • Unabhängig(er) von Client • Schwieriger zu manipulieren • Persistenz Nachteile • Hohe Belastung des Servers • Session-Zuordnung trotzdem notwendig im Browser • Session-Id Session-ID Anwendungskontext Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 67 / 91 Session-Identifikation (Session-ID) • Ein eineindeutiger Bezeichner je Session • Nicht vorhersagbar • IP-Adresse, Benutzerkennung und Zeit weder ausreichend noch hinreichend • Internet-Café, anonymer Mehrbenutzerbetrieb • Dynamisches Ändern der IP-Adresse • Meist Hash einer Zufallszahl plus IP-Adresse (99,9...%-Lösung) Verwalten der Session-ID • Bevorzugt im Cookie • Oft optional im GET-String • Falls Cookie verboten • Navigation mit location: geht schief (und ist verboten!) Session-ID in Python erzeugen • import uuid, OpenSSL r = OpenSSL.rand.bytes(16) sessionid = uuid.UUID(bytes=r) #38e9aa97-fe49-2ea2-4d92-4aa0369942a0 • “Gute” Zufallszahl • Ausreichend eindeutig Prof. Dr. Peter Barth (HS-RheinMain) Web-basierte Anwendungen 24. April 2013 68 / 91
Seite 1 und 2: Organisatorisches Organisatorisches
Seite 3 und 4: Grundlagen Web Einführung Grundlag
Seite 5 und 6: Grundlagen Web Common Gateway Inter
Seite 7 und 8: Grundlagen Web Templating Grundlage
Seite 9 und 10: Grundlagen Web Proprietäre Integra
Seite 11 und 12: Grundlagen Web Proprietäre Integra
Seite 13 und 14: Grundlagen Web werkzeug Grundlagen
Seite 15: Grundlagen Web Zustandsverwaltung
Seite 19 und 20: Grundlagen Web Zustandsverwaltung
Seite 21 und 22: Grundlagen Web Bibliotheken Grundla
Seite 23: Grundlagen Web Bibliotheken Grundla

4 in 1 - Medieninformatik - Hochschule RheinMain

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?