phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Cookie sicherheit

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Die Mai 15 11:20:57 CEST 2007

Vorherige Nachricht: [php] dgettext und Erzeugen von datei.po funktioniert nicht richtig
Nächste Nachricht: [php] Cookie sicherheit
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo Martin,

Martin Walper schrieb:
> hab mal eine generelle frage, was die Sicherheit von Cookies betrifft.
>
> Da, soweit ich weiß, alle in $_SESSION gespeicherten Daten in einer
> Textdatei auf dem Server gespeichert werden.
> Wollte ich wissen, in wieweit diese Daten von außen verändert /
> verfälscht werden können?
> Da ja in dem Cookie in der Regel nur die sid gespeichert wird, dürfte
> man doch nach meinem verständnis keine Daten,
>  abgesehen von der sid, fälschen können. Oder liege ich hier vollkommen
> auf dem Holzweg?

die Daten sind natürlich nicht direkt im Cookie gespeichert, wenn es Dir
aber gelingt, in den Besitz des Cookies und der Session-ID zu gelangen,
kommst Du ja mit der passenden URL auch an die Daten auf dem Server,
solange die Session noch nicht beendet ist und nicht noch anderweitig
gesichert ist (z.B. IP-Prüfung, Browserprüfung etc.).

Prinzipiell ist eine Session mit Cookie aber wesentlich sicherer als eine,
die mit Session-ID in der URL arbeitet. Wenn Du es ganz sicher haben
willst, kannst Du für den Session-Cookie noch diverse erhöhte
Sicherheitseinstellungen in der PHP-Konfiguration vornehmen und generell
mit einer verschlüsselten Verbindung arbeiten.

Viele Grüße
Lutz

Vorherige Nachricht: [php] dgettext und Erzeugen von datei.po funktioniert nicht richtig
Nächste Nachricht: [php] Cookie sicherheit
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive