phpbar.de logo

Mailinglisten-Archive

[php] Login-Cookie: Welcher Inhalt?

[php] Login-Cookie: Welcher Inhalt?

Ernst May-Jung mailing at may-jung.de
Mon Nov 21 15:41:25 CET 2005



Hallo,

ich antworte auf das oberste Topic. Habe dennoch die ganze Diskussion gelesen.

Punkt 1:
Im Cookie kann man zwar super viel speichern, aber egal was da alles möglich 
ist. Infos die ich genauso auf den Server halten kann, sollen da nicht rein. 
Auf keinen Fall Passwörter ins Cookie. 

Punkt 2: 
Nicht Sicherheitsrelevante Infos kannst Du im Cookie speichern soviel Du 
willst. Du solltest nur wissen, dass die Infos ständig in beide Richtungen 
übertragen werden.


So mache ich das:
Der Cookie enthält eine Session Id, welche nach einer bestimmten Zeit 
verfällt. Die Session id ist laaang, und damit schwer zu erraten.

Für den sensiblen Bereich steht nur ssl zur Verfügung (das kapiert sogar 
lynx). 

Für den ssl Bereich gibt es einen eigenen Cookie. Dem Browser wird beim setzen 
des Cookies mitgeteilt, dass der Cookie nur bei https://ssl.meine-domain.de 
mitgegeben wird.

Damit wird das Auslesen und kapern einer bestehenden Session stark erschwert.  
Dennoch verfällt dieser Cookie nach einer halben Stunde. Damit wir eine neue 
Loginaufforderung ausgelöst.

Gruß
    Ernst

php::bar PHP Wiki   -   Listenarchive