phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Login-Cookie: Welcher Inhalt?

Sebastian Mendel lists at sebastianmendel.de
Son Nov 20 10:26:42 CET 2005

Vorherige Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nächste Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Lutz Zetzsche schrieb:
> Hi Nico,
> 
> Am Samstag, 19. November 2005 22:07 schrieb Nico Haase:
> 
>>Obwohl ganz ohne eine "Echtheitsbestätigung" das Setzen des Cookies
>>natürlich für Fremde stark erleichtert wird. Steht da nur die ID drin, ist
>>Fälschen doch kinderleicht. Aber vielleicht hast du Recht, und die Idee ist
>>im Allgemeinen nicht so die Wucht ;)
> 
> 
> nein, Fremde können Deinen Cookie nicht ganz so einfach aussetzen, wenn Du ihn 
> richtig setzt. Du solltest auf jeden Fall Domain und Pfad beim Setzen des 
> Cookies mit angeben. Du kannst bei Cookies zudem angeben, daß sie nur über 
> gesicherte Verbindungen (HTTPS) gesendet werden dürfen. HTTPS setzt aber eine 
> entsprechende Serverkonfiguration voraus.

er meint wohl eher das ich mir ja jetzt selber ein cookie setzen könnte 
mit der ID des Admin z. B. ...


also eigentlich ist es immer unsicher das Login in einem Cookie zu 
speichern, außer du schaffst es das Cookie fest an den Client zu binden 
- d.h. du kannst den Client eineindeutig identifizieren und überprüfen 
ob der Cookie wirklich für diesen Client ursprünglich gesetzt wurde und 
nicht jemand sich das Cookie einfach kopiert hat.

Login und eineindeutige ID müssen also verschlüsselt im Cookie 
gespeichert sein.

Oder du vertraust einfach deinen Benutzern das diese sicher mit ihrem PC 
umgehen können und in Cookies gespeicherte Information nicht für dritte 
einsehbar sind - dann reicht es natürlich Login und Passwort in einem 
Cookie zu speichern. (eventuell noch zur pseude Sicherheit kannst du 
natürlich diese beiden Sachen verschlüsselt ablegen im Cookie: mcrypt)

Was natürlich nicht davor schützt das ein Fremder sich diese beiden 
Cookies auf seinen Rechner kopiert ... aber zumindest davor das er das 
Passwort sehen kann.

Außerdem kannst du natürlich noch den bereits von dir erwähnten 
Schlüssel hinzufügen der sich immer ändert und wenn der mal nicht 
übereinstimmt, was zwangläufig passieren muss wenn jemand anders sich 
die Cookies kopiert hat (was natürlich frmeden Zugriff auf den Rechner 
des Opfers vorraussetzt) eine Warnung ausgeben das das Passwort zu 
ändern ist. Das Passwort kann man natürlich nur durch eingabe des alten 
Passworts ändern, was der Angreifer/Cookie-Dieb ja nicht haben kann.


-- 
sebastian

Vorherige Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nächste Nachricht: [php] Login-Cookie: Welcher Inhalt?
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive