setcookie ("x",$x,0) im Browser manipulierbar?

R

raaaa

Mitglied
Hallo ich wollte mal fragen ob sich Cookies mit einer Lebensdauer
von Null im Browser manipulieren lassen.

setcookie ("passwort", "$passwort", 0);

Diese "setcookie"-Anweisung erstellt laut meinem Verständniss des PHP-Manuals einen Cookie der beim Schließen des Browsers automatisch
gelöscht wird. Da wäre ja nur eine Manipulation des Browsers oder eine Übernahme der Session des eingeloggten Benutzers während dessen "Ich geh mir mal einen Kaffee holen" - Pause möglich, oder?
 
Hiho,
prinzipiell: Nichts ist unmöglich!
Es wäre natürlich möglich dass irgendein böser Bube eine kleine Mozilla Extension schreibt, die Browsersession-Cookies speichert, ausgibt oder in der nächsten Session weiterverwendet, allerdings ist das in meinen Augen recht unwahrscheinlich.

Sollte dennoch ein manipulierter Browser o.ä. deinen Keks durch die Weltgeschichte schicken empfehle ich dir folgende Grundsätze - die im Sinne des Nutzers eigentlich für alle sicherheitsrelevanten Cookies gelten sollten - einzuhalten:

a.) Cookies nie mit dem Passwort im Klartext. Wenn das einer Ausliest braucht er keine großen Verrenkungen zu machen, er hat das Passwort und kann sich damit einloggen. Ich empfehle sowas wie md5() o.ä.

b.) Den Cookie nicht auf 0 setzen, sondern auf zB 3 Minuten. du kannst ihn ja bei jedem Seitenaufruf erneuern. So solltest du rund 50% der Kaffeepause abgesichern können ;)

c.) am besten wäre es, wenn zu dem (verschlüsselten) passwort noch die IP-Adresse des Rechners hinzugerechnet wird, mit dem sich eingeloggt wurde. Damit gehst du sicher, dass sich der 'Angreifer' am Rechner oder im Netz des Users befinden musst und schliesst damit fast immer min. 99% des Internets aus.


so far

TiM

PS: Eure Edit-Funktion hier hat keine Vorschaumöglichkeit *gr*
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück