Halihallo Alexander

Solange also das (bzw. besser formuliert: "ein") cookie mit gültiger gespeichert ist, wird die passwortabfrage nicht wiederholt.

Du sagst schon: _gültiger_. Du ignorierst deine eigene Aussage.

Ist der Gedankengang korrekt? Kann man cookies editieren?

Ja. Und man muss nicht mal editieren, man kann auch einfach senden...

Wenn ja, wie kann man das verhindern?

Indem man dem Cookie z.B. eine SessionID/-Key oder nur -Key mitsendet und überprüft,
ob diese irgendwo in der Datenbank registiert ist. Ein Angreifer könnte dann nicht
einfach einen Cookie senden, sondern müsste z.B. eine 128-bit Checksumme erraten und
_das_ ist etwas aufwendiger.

Umsetzung: Generiere für jeden neuen Cookie eine zufällige 128-bit Checksumme
(informiere dich über MD5, rand(-om), time, ...), welche du a) mit dem Cookie mit-
sendest, b) in der Datenbank speicherst und c) bei jedem Zugriff überprüfst, ob der
Wert im Cookie mit einem Wert in der Datenbank übereinstimmt; wenn die Session
abgelaufen ist, löschst du den Wert aus der Datenbank und der Benutzer kriegt ein
"Session ist abgelaufen" o.ä. Text zu sehen.

Viele Grüsse

Philipp