Hallo,
kurze Frage: Kann sich ein User ein Cookie, dass er eigentlich nie erhalten hat, selbst setzen bzw. seinen Browser so manipulieren, dass er dieses Cookie, das er eigentlich nicht von diesem Server erhalten hat, dem Webserver als "erhalten" übergibt?
Es geht darum, ob eine Authentifizierung in folgender Form sicher wäre:

Passworteingabe -> wenn korrekt, cookie "admin" setzen -> bei jedem zugriff wird geprüft, ob cookie "admin" existiert, wenn ja zugriff erlauben.

Wenn der User sich den Cookie jetzt aber selber setzt, ohne dass er das Passwort eingibt, wäre das ja ne mörderische Sicherheitslücke.

Eigentlich kann sich ja jeder die Sources der freien Browser so hinmanipulieren, dass das funktioniert, oder gibt es da noch in irgendeiner Form eine Blockade?

Googeln und Wiki haben leider nicht weitergeholfen, und nein, Sessions kann ich stattdessen nicht verwenden ;-)

Danke.