Hello,

kurze Frage: Kann sich ein User ein Cookie, dass er eigentlich nie erhalten hat, selbst setzen bzw. seinen Browser so manipulieren, dass er dieses Cookie, das er eigentlich nicht von diesem Server erhalten hat, dem Webserver als "erhalten" übergibt?

Es geht darum, ob eine Authentifizierung in folgender Form sicher wäre:

Passworteingabe -> wenn korrekt, cookie "admin" setzen -> bei jedem zugriff wird geprüft, ob cookie "admin" existiert, wenn ja zugriff erlauben.

So ein Cookie wäre bei einer wichtigen Seite einem Selbstmordversuch gelichzusetzen.
Mindestens mit einem Webserver (der ja als XAMPP auf jedem >= 586er lauffähig sein kann) kann man sich das selber bauen. Hier hilft nur ein Zertifikat. Die beiden Bedingungen, die dieses "sicher" machen, sind 'zeitliche Gültigkeitsbeschränkung' und 'genügend lang'.

Wenn Du als Cookie also einen 16-stelligen Code (jede Stelle 256 Möglichkeiten) übersendest, und auf deinem Server dann prüfst, wann dieser "Schlüssel" erteilt wurde, hast Du eine befriedigende Sicherheit. Das Erraten bleibt trotzdem möglich, aber eben mit einer sher geringen Wahrscheinlichkeit.

Ob Cookies aber in ihren Werten alle 256 Zeichen enthalten dürfen, habe ich nicht geprüft. Aber selbst bei 64 sollte es noch eine ausreiichende Sicherheit gewährleisten.

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau