Hallo stephan,

naja nur wird der cookie dann auch von der seite akzeptiert als wenn er auf dem orginal rechner wäre ? das wage ich zu bezweifeln...

die seite liest nur den cookie aus, einen "orginal-rechner" _kann_ sie garnicht identifizieren.

so wie er es geschildert hat verschlüsselt er das passwort mit md5 und sichert es dann im cookie...

schön. und wenn die prüfung auf dem server, auf dem er sich einloggt, dann heist: if(md5($passwd)==$cookie_passwd) dann nützt die "verschlüsselung" garnichts. ein (z.b. md5) hash (prüfsumme) ist keine "verschlüsselung" und dient dazu, das passwort in der datenbank in einer form abzulegen, die es auch dann wertlos macht, wenn jemand direkten zugriff auf die datenbank bekommt.

wenn diese kopierbar auf eine andere maschine sind und die seite es nicht merken könnte wäre das in der tat ein problem, das kann ich mir aber nur schwer vorstellen...

nicht "kopierbar", sondern "auslesbar". und mit einem entsprechenden eintrag in der "hosts"-datei des eigenen rechners kann ich _jeder_ seite weis machen, der cookie, den ich dann selber setze, wäre von ihr gekommen. trage dort (z.b. C:\WINDOWS\system32\drivers\etc) ein:
127.0.0.1 www.heise.de
und du kannst von deinem lokalen webserver aus bei dir einen cookie für heise.de setzen.

mit dem entsprechenden aufwand und den meist riesigen kosten kann man schon sachen machen nur muss man immer sehen ob diese leute es auf seinen login abgesehen hätten ;o) ???

es gibt jede menge script-kiddies, denen auch ohne nutzen jeder aufwand recht ist, um auf ein fremdes system zu kommen, nur um sich oder jemandem anderes zu beweisen, das sie es können.

freundl. Grüße aus Berlin, Raik