Sicherheitsfrage [$HTTP_COOKIE_VARS]

[EM-Autotechnik]

Hi zusammen,

ist es empfehlenswert ein Login System auf Cookie Basis zu erstellen?
bzw. ist es Hackern möglich per GET auf die $HTTP_COOKIE_VARS[ ] zuzugreifen? Und wenn, wie schließt man diese Sicherheitslücke?
Danke Euch!

MfG Sebastian

 

[Sven Petruschke]

ist es empfehlenswert ein Login System auf Cookie Basis zu erstellen?

Verwende lieber gleich die Session-Funktionen von PHP. Dabei werden auch Cookies zuhilfe genommen, falöls der Client diese akzeptiert.
--> http://www.php-center.de/faq/faq-version4_session.html

ist es Hackern möglich per GET auf die $HTTP_COOKIE_VARS[ ] zuzugreifen?

Diese Frage ist ein Widerspruch in sich. GET ist eine Methode, um bei einer Anfrage an den Server Daten zu übermitteln. Und Cookies liegen auf dem Client. Es wird also niemand via GET Deine Cookies abfragen können.

Beim Setzen von Cookies solltest Du nur darauf achten, für welchen Pfad dieses freigegeben ist. Hast Du beispielsweise Webspace auf einem Server, der über www.domain.de/user1 zugänglich ist und ist der Pfad des Cookies auf "/" gesetzt, dann kann theoretisch auch eine Seite, die unter www.domain.de/user2 liegt, das Cookie auslesen.
--> [phpf]setcookie[/phpf]

snuu

 

[EM-Autotechnik]

ok Dankeschön!

Diese Frage ist ein Widerspruch in sich. GET ist eine Methode, um bei einer Anfrage an den Server Daten zu übermitteln. Und Cookies liegen auf dem Client. Es wird also niemand via GET Deine Cookies abfragen können.

Wollte damit eigentlich fragen, ob es möglich ist die Cooki_Var per GET AN den Server zu übergeben um diesem vorzutäuschen, dass ein Cookie gesetzt ist.