Moin!

Zur Identifikation nutze ich z.Z. 2 Cookies. Eins für den Username und eins für das Passwort (wird als md5 im Cookie gespeichert).

Das ist nicht unbedingt ideal. Die Verwendung von md5 bringt dir hier jedenfalls keinen Vorteil.

Wie sicher ist das ganze jetzt (realistisch betrachtet)? Sollte ich auf das Abspeichern der md5 verzichten?
Welche Alternativen habe ich (d.h., welche Daten eignen sich besser, um als Identifikation von Cookies herangezogen zu werden)?

Du solltest einen Session-Mechanismus verwenden. Es sei denn, du willst dir ein ständiges Login ersparen und speicherst deine Userdaten deshalb langfristig.

Was die Sicherheit angeht: Irgendwo wirst du deinen Benutzernamen und Passwort ja mal eingegeben haben. Da du nichts von Verschlüsselung (HTTPS) geschrieben hast, mußt du davon ausgehen, dass diese Daten unverschlüsselt übertragen werden und von Angreifern abgehört werden können. Dagegen kannst du (außer eben einen verschlüsselten Kanal zu benutzen) nichts tun.

Das Passwort im Cookie per MD5 abzulegen, hilft da auch nicht mehr viel. Denn man kriegt entweder Zugriff mit den Klartext-Anmeldedaten, oder mit den Klartext-Cookiedaten (welches Passwort zum MD5-String geführt hat, ist irrelevant, deine Applikation kann nicht nachprüfen, ob das Cookie echt gesetzt wurde, oder manipuliert ist).

Du hast also, was die Sicherheit angeht, die typischen Probleme unverschlüsselter Datenkommunikation. Und durch die Zweigleisigkeit "normales Passwort + MD5-Passwort" eröffnest du eine immerhin doppelt so große Angriffsfläche, auch wenn diese im Vergleich zu den möglichen Passworten immer noch winzig ist.

Sessions wären wirklich irgendwie schöner. Und da man irgendwann sowieso auf sie stößt, könntest du dich auch jetzt dran versuchen. :)

- Sven Rautenberg