Moin!

|Nein. Das Cookie wird nur gesendet, wenn Domain- und Path-Feld
stimmen.

Was ist wenn ich die kenne?

Es gibt genau zwei Angriffsszenarien bei Cookies:

1. Der Rechner des Users wird erfolgreich angegriffen. In diesem Fall sind alle darauf gespeicherten Login-Informationen in der Hand des Angreifes. Lösungsmöglichkeit: Login-Informationen nicht auf dem Rechner abspeichern - also auch nicht im Cookie, und zwar KOMPLETT NICHT! Problem: Jeder moderne Browser bietet Passwordmanager, welche das Passwort zwar nicht im Cookie, aber sonst irgendwo speichern - dieser Ort ist ebenfalls angreifbar.

2. Der Server wird erfolgreich angegriffen. Um dadurch in den Besitz des Cookies zu kommen, muß ein böses Skript unter der richtigen Domain im richtigen Pfad abgelegt UND vom Browser AUFGERUFEN werden.

Wie wahrscheinlich schätzt du es ein, dass jemand auf deiner Domain ein fremdes Skript installieren kann? Bzw. wie wahrscheinlich ist es, dass jemand auch noch in das richtige Verzeichnis gelangt (manche Server haben ja eine Domain für alle User, aber unterschiedliche und voneinander abgegrenzte Verzeichnisse.

Denn wenn ich auf einem Board als User Andavos angemeldet bin, und als Anda surfen möchte, dann muss ich nur den Cookie von Andavos entsprechend umändern.

Richtig, aber dazu brauchst du als Angreifer entweder Zugriff auf den Rechner des eingeloggten Andavos, oder Zugriff auf den Server des Boards.

Und wenn eine dieser Voraussetzungen erfüllt ist, dann sollte sich entweder Andavos über die Sicherheit seines privaten Rechners oder der Serveradmin des Board-Servers Gedanken über mehr Sicherheitsvorkehrungen machen.

- Sven Rautenberg