✔ Zu Cookies nötigen?
- Themenstarter Schumiel
- Beginndatum
Parantatatam
mag Cookies & Kekse
Um es kurz zu halten: versuche auch Alternativen für Personen einzubauen, die ihre Cookies deaktivieren, dass sind doch recht viele. Die normalen Nutzer werden zwar ihre Cookies aktiviert haben, aber wenn es dann eher um kundige Personen geht, die um ihre Sicherheit besorgt sind, dann darfst du keinesfalls mehr damit rechnen.
Ich habe nun ein Test durchgeführt und habe bei Betreten der Webseite ein Cookie gesetzt. Beim 2.Aufruf soll er den Cookieinhalt in der DB speichern, der mit 1 bestückt ist. Setzt er das Cookie nicht, trägt es eine 2 ein. Nun habe ich ca. 5%-10% mit einer 2 drin stehen. Was nun!?
Geplant ist ein Login, daher auch meine Frage.
Geplant ist ein Login, daher auch meine Frage.
Flex
(aka Felix Jacobi)
Ein Login sollte mit einem Cookie durchgeführt werden.
Ansonsten musst du dir umständliche Wege überlegen um Session Hijacking zu verhindern. Denn wenn kein Cookie gesetzt werden kann, muss die Session ID per GET oder POST übergeben werden.
Ansonsten musst du dir umständliche Wege überlegen um Session Hijacking zu verhindern. Denn wenn kein Cookie gesetzt werden kann, muss die Session ID per GET oder POST übergeben werden.
@Da Chris:
Es geht mir nicht um die Funktionsweise, sondern ob ein Cookie überhaupt nötig ist und ob man ein User dazu auffordern darf/soll/muss, um Cookies zu aktivieren.
@Felix:
Vielleicht blamier ich mich mit meiner Frage jetzt, aber Cookies sind doch manipulierbar. Wo ist dahingehend die Sicherheit eines Logins gewährleistet?
Es geht mir nicht um die Funktionsweise, sondern ob ein Cookie überhaupt nötig ist und ob man ein User dazu auffordern darf/soll/muss, um Cookies zu aktivieren.
@Felix:
Vielleicht blamier ich mich mit meiner Frage jetzt, aber Cookies sind doch manipulierbar. Wo ist dahingehend die Sicherheit eines Logins gewährleistet?
Die Notes beachten 
Da_Chris
Erfahrenes Mitglied
@Schumiel: Wie schon gesagt ab Login solltest du auf Cookies nicht verzichten da die Übergabe der Links unsicher ist.
Bei einem Login wirst du mit Sessions arbeiten. Dabei gibt es zwei Möglichkeiten wie du diese Session übernimmst. Entweder speicherst du die ID in einem Cookie oder übergiebst Sie in der URL.
Die cookie Lösung ist bei Sessions schon quasi mit dabei. Es wird dabei ein temporäres Cookie angelegt welches nur für die Dauer der Session besteht. Und genau hier kommt der Punkt. Die Variante mit Cookies ist sicherer da das Cookie i.d.R beim schliessen des Browsers gelöscht wird. Die Link übergabe ist in der History ersichtlich und damit auch nach dem schliessen des Browsers auslesbar. Wie du selber bemerkt hast ist die Cookie Variante auch nicht unsicher da man im laufenden Betrieb diesen auslesen kann (Spyware). Manipulierbar ist das System ansonsten weniger denn es werden nur die IDs nicht die Inhalte der Session übertragen.
Um eine andere ID zu übernehmen müsstest du diese also kennen. Um das System noch sicherer zu machen kann man Session IDs ständig wechseln lassen. Dazu empfehle ich diesen Artikel:
http://phpforum.de/forum/showthread.php?t=216531
Zur eigentlichen Frage:
Bei einem Login wirst du mit Sessions arbeiten. Dabei gibt es zwei Möglichkeiten wie du diese Session übernimmst. Entweder speicherst du die ID in einem Cookie oder übergiebst Sie in der URL.
Die cookie Lösung ist bei Sessions schon quasi mit dabei. Es wird dabei ein temporäres Cookie angelegt welches nur für die Dauer der Session besteht. Und genau hier kommt der Punkt. Die Variante mit Cookies ist sicherer da das Cookie i.d.R beim schliessen des Browsers gelöscht wird. Die Link übergabe ist in der History ersichtlich und damit auch nach dem schliessen des Browsers auslesbar. Wie du selber bemerkt hast ist die Cookie Variante auch nicht unsicher da man im laufenden Betrieb diesen auslesen kann (Spyware). Manipulierbar ist das System ansonsten weniger denn es werden nur die IDs nicht die Inhalte der Session übertragen.
Um eine andere ID zu übernehmen müsstest du diese also kennen. Um das System noch sicherer zu machen kann man Session IDs ständig wechseln lassen. Dazu empfehle ich diesen Artikel:
http://phpforum.de/forum/showthread.php?t=216531
Zur eigentlichen Frage:
Ja spätestens bei Logins sind Cookies notwendig und ja man sollte mindestens darauf hinweisen wenn nicht gar einen cookie check einbauen. Tut man das nicht wird der User sich wundern warum nichts geht.
Neue Beiträge
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
