Stimmt du hast Recht. Es ist sowieso ein Laster, das es Benutzer gibt, die Ihre Cookies deaktiveren. Alleine das Cookies im IE unter Datenschutz aufgelistet sind, ist schon humbuck. Oder stecken in Cookies irgentwelche Sicherheitslücken oder magische Hintertüren, die ich noch nicht kenne?
Cookies erlaubt?
- Themenstarter Benzol
- Beginndatum
Dennis Wronka
Soulcollector
Cookies koennen gefaelscht werden, das ist zwar kein so grosses Problem, kann aber bei unsauberer Programmierung eines werden.
Angenommen Du speicherst nur den Usernamen im Cookie, dann kann man durch Beobachtung oder Trial&Error herausfinden, dass der Admin-User z.B. Admin heisst.
Der eingetragene Username wird auf Admin geaendert und schon ist der User als Administrator drin.
Auch wenn man nur die UserID speichert ist es nicht viel sicherer, denn der Admin ist in der Regel der erste angelegt Nutzer und hat dementsprechend in der Regel die ID 1.
Man muss also schon zumindest UserID/Usernamen (besser die ID) und das verschluesselte (oder zumindest gehashte) Passwort speichern um einigermassen Sicherheit zu bieten, dass der Cookie nicht gefaelscht ist.
Aber auch das ist nicht 100% sicher. 100% Sicherheit ist sowieso unmoeglich.
Und man muss sich auch von der Vorstellung losreissen, dass man mit seiner Website das ganze Internet sicher machen kann. Das denken scheinbar viele.
Irgendwo hoert die eigene Verantwortung fuer die User-Daten auf. Natuerlich muss man soviel Sicherheit wie moeglich bieten, jedoch kann man z.B. nicht verhindern, dass jemand per Virus oder Social Engineering an die User-Daten gelangt.
So, das war dann mal ein kleiner Beitrag zum Thema Sicherheit. Ich koennte mich noch viel laenger ueber Security auslassen, aber das hat dann wirklich nichts mehr mit dem eigentlichen Thema hier zu tun.
Angenommen Du speicherst nur den Usernamen im Cookie, dann kann man durch Beobachtung oder Trial&Error herausfinden, dass der Admin-User z.B. Admin heisst.
Der eingetragene Username wird auf Admin geaendert und schon ist der User als Administrator drin.
Auch wenn man nur die UserID speichert ist es nicht viel sicherer, denn der Admin ist in der Regel der erste angelegt Nutzer und hat dementsprechend in der Regel die ID 1.
Man muss also schon zumindest UserID/Usernamen (besser die ID) und das verschluesselte (oder zumindest gehashte) Passwort speichern um einigermassen Sicherheit zu bieten, dass der Cookie nicht gefaelscht ist.
Aber auch das ist nicht 100% sicher. 100% Sicherheit ist sowieso unmoeglich.
Und man muss sich auch von der Vorstellung losreissen, dass man mit seiner Website das ganze Internet sicher machen kann. Das denken scheinbar viele.
Irgendwo hoert die eigene Verantwortung fuer die User-Daten auf. Natuerlich muss man soviel Sicherheit wie moeglich bieten, jedoch kann man z.B. nicht verhindern, dass jemand per Virus oder Social Engineering an die User-Daten gelangt.
So, das war dann mal ein kleiner Beitrag zum Thema Sicherheit. Ich koennte mich noch viel laenger ueber Security auslassen, aber das hat dann wirklich nichts mehr mit dem eigentlichen Thema hier zu tun.
Dennis Wronka
Soulcollector
So, weiter oben hab ich ja schon meine cookiecheck.php zur Verfuegung gestellt um ueberpruefen zu koennen ob der Browser Cookies akzeptiert.
Dann hab ich ja noch angesprochen eine Idee zu haben um zu pruefen ob JavaScript aktiviert ist, dies hab ich gerade umgesetzt und es scheint ganz gut zu funktionieren.
Hier das Script:
javascriptcheck.php
Dann hab ich ja noch angesprochen eine Idee zu haben um zu pruefen ob JavaScript aktiviert ist, dies hab ich gerade umgesetzt und es scheint ganz gut zu funktionieren.
Hier das Script:
javascriptcheck.php
PHP:
<html>
<head>
<?php
if (!$_GET["check"])
{
printf("<META HTTP-EQUIV='Refresh' CONTENT='0,url=javascriptcheck.php?check=2'>");
}
?>
</head>
<body>
<?php
if (!$_GET["check"])
{
printf("<script type='text/javascript'>");
printf("top.location.href='javascriptcheck.php?check=1';");
printf("</script>");
}
else
{
if ($_GET["check"]==1)
{
printf("JavaScript is enabled<br>");
}
if ($_GET["check"]==2)
{
printf("JavaScript is disabled<br>");
}
printf("<a href='javascriptcheck.php'>Check if JavaScript is enabled</a>");
}
?>
</body>
</html>
Zuletzt bearbeitet:
Deine erläuterung zum Sicherheitsproblem ist aber nicht die Erklärung dafür, das die Cookies im IE unter "Datenschutz" aufgelistet sind. Dein Fall setzt vorraus, das jemand ein Cookie fälscht, was aber, wenn Otto-Normal-User nicht fäschen möchte?! Bzw. das nicht zuordnen kann? Dann schaltet der Depp die Cookies doch ab, ohne zu WIssen, das es überhaupt die Möglichkeit gibt, Cookies zu fälschen. Eine richtige Sicherheitslücke für den User gibt es also anscheinend doch nicht. Nur für den Seitenbetrieber.
Dennis Wronka
Soulcollector
Fuer den User seh ich auch kein direktes Sicherheitsproblem.
Eher eine indirekte Bedrohung der User-Daten welche der User selbst auf der Website einsehen kann.
Wenn der User z.B. nach dem einloggen auf seinen persoenlichen Daten (Telefon, Addresse, ...) zugreifen kann und ein schlechter Mensch ergattert dieses Users Cookie, oder faelscht diesen, kann er auch auf diese Daten zugreifen.
Aber wie gesagt koennen die Login-Daten auch durch andere Mittel, wie z.B. abhoeren des Netzverkehrs oder Social Engineering, ergattert werden.
Eher eine indirekte Bedrohung der User-Daten welche der User selbst auf der Website einsehen kann.
Wenn der User z.B. nach dem einloggen auf seinen persoenlichen Daten (Telefon, Addresse, ...) zugreifen kann und ein schlechter Mensch ergattert dieses Users Cookie, oder faelscht diesen, kann er auch auf diese Daten zugreifen.
Aber wie gesagt koennen die Login-Daten auch durch andere Mittel, wie z.B. abhoeren des Netzverkehrs oder Social Engineering, ergattert werden.
Neue Beiträge
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
