(COOKIE) Sind Cookies fälschungssicher?
ThomasJ
- https
0 Daniel Thoma0 ac
Hallo,
zu meinem Problem: Innerhalb einer kleinen Benutzergruppe (von denen keiner Angst vor Cookies hat :) habe ich mit PHP eine Internetseite mit Passwortschutz erstellt.
Die Seite überprüft einfach ein Passwort. Wenn dieses richtig ist, darf der User einen Namen aussuchen, mit dem er ab sofort angemeldet ist:
Auf dem Rechner wird ein Cookie gespeichert. Dort speichere ich nur eine Variable, was etwa so aussieht: RegisteredUser=Thomas
Thomas ist der Benutzername. Beim erneuten Betreten der Seite überprüft meine Seite den Cookie und überspringt die Passwortabfrage, falls die Variable "RegisteredUser" definiert ist.
Jetzt zu meiner Frage: Cookies sind ja eingentlich nichts anderes als Textdateien, die ich sogar ansehen kann. Aber kann ich Sie auch bearbeiten oder fälschen? (selbst erstellen?) Bei einem Editierversuch wurde mein Cookie gelöscht.
Sonst wäre ja möglich, sich selbst einen cookie wie meinen zu basteln und meine Abfrage zu umgehen?
Danke im Voraus für Eure Antworten
Thomas
PS: Natürlich weiss ich, dass das nicht die sicherste Lösung ist, daher müsst ihr mir keine Vorschläge schicken (verschlüsseln der Passwörter, etc.). Der Inhalt der Seite hinter dem Passwort ist keinesfalls TOP SECRET :) Aber andere sollen es ja nicht unbedingt sehen können.
Hallo Thomas
Im prinzip kann man Cookies schon fälschen. Vieleicht nicht wärend der Browser läuft, aber wenn man den eintreg in der Textdatei ändert
und ihn dann startet, sollte es gehen. Und wenn nicht, was hindert mich daran meinen ganz persönlichen HTTP-Request zu senden?
Die schwierigkeit sollte nicht darin bestehen ein Cookie zu fälschen
sondern das richtige reinzuschreiben.
MfG
Daniel
Hallo,
Selbstverständlich kann der Inhalt deiner Cookies beliebig gefälscht werden.
Es ist wenn der USER mit IE arbeitet sogar möglich, das eine fremde Domain den Inhalt DEINES cookies ausliest und damit hat der Angreifer dann die Möglichkeit unter der User Kennung deines Kunden bei Dir einzudringen.
Eine unverschämte Frage:
Warum stümperst du mit viel Mühe eine eigene
Passwort Erkennung zusammen,
anstelle einfach die stabile Passwort
Abfrage via .htaccess zu benutzen?
Warum ein zerbrechliches eckiges Rad neu erfinden,
wenn dein Webserver ein wunderbar funktionierendes rundes Rad
schon eingebaut hat?
my two cents