Mailinglisten-Archive |
Hi Dion, Am Sonntag, 20. November 2005 14:08 schrieb Dion Timmermann: > Ganz verhindern, dass Cookies kopiert werden kann man sicher nicht. Ein > wenig mehr Sicherheit bringt es allerdings den User-Agent des Users im > Cookie zu speichern. Kopiert man den Cookie nun auf einen Anderen > rechner mit anderen User-Agent einstellungen wird der Cookie ungültig. > Um manuelles Editieren zu verhindern sollte man natürlich nur eine > md5-Version des User-Agent im Cookie speichern und dann mit > entsprechenden Daten in der DB vergleichen. > Ich weiss nicht genau, ob verschiedene Browser auf die selben > Cookie-Datein zugreifen. Das wäre natürlich ein Problem, allerdings > kenne ich kaum Personen (ausser Webentwicklern), die häufiger mal den > Browser wechseln. > Ein Update des Browsers würde natürlich auch den Cookie entwerten sobald > die Versionsnummer im User-Agent gespeichert wird, aber ich würde das in > Kauf nehmen. kennst Du das Spiel "Vier gewinnt"? Da ist es ja so, daß man immer deswegen verliert, weil man so auf das Zustandebringen seiner Vierer-Reihe fixiert ist, daß man gar nicht merkt, daß der Gegenspieler schon etwas dichter dran ist - und gewinnen wird. ;-) Hier ist es genauso. Jemand, der an den Cookie dran kommt, um ihn zu kopieren, hat doch schon auf dem Rechner, wo der Cookie liegt, den Login! Wozu den Cookie noch kopieren... Also wie man es dreht und wendet, wenn ein Cookie alleine als Dauerlogin herhalten soll, ist und bleibt das eine Sicherheitslücke erster Güte. Egal, was Ihr Euch da alles Tolles ausdenkt und in dem Cookie als zusätzliche Sicherung "verstecken" wollt. Meine Meinung. :-) Viele Grüße Lutz
php::bar PHP Wiki - Listenarchive