nicht angemeldet
Cookies und Sessions nicht sicher
Hallo
Mein Gedanke ist gerade, dass Cookies oder Sessions doch gar nicht sicher sind.
z.b. möchte ich überprüfen, ob ein Cookie mit dem Namen user vorhanden ist, wenn ja, dann soll er sich aus einer Datenbank den Usernamen heraus holen.
Jetzt könnte doch irgend ein Fremder ein Cookie erstellen das den namen user hat, dann wäre er auch eingeloggt, oder verstehe ich das falsch?
Danke
-
füg noch password hinzu (als 2e zeile in cookie), und überlass es dem user sich ausreichend gegen trojaner/würmer zu schützen die sich auf cookie-klau spezielisieren (wer macht sich shcon die mühe deine seite zu hacken? bist ja keine bank ;), zudem erlauben die mesiten browser das auslesen von cookies nur der "autorseite".
MFG
bleicher--
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).-
ich habe ein sogenanntes login feld in meiner Datenbank, dort wird noch eine md5 Zufallszahl generiert, dies verwende ich auch noch zusätzlich. Da ich Passwörter in cookies nicht so gerne speichere.
Das reicht denkst du?
-
grundsätzlich - jeder Schöoss der durch menschliche hand erschaffen wurde , kan durch menschliche hand geknackt werden , die frage ist - wird sich ein "echter" hacker die mühe mahcen deine seite zu hacken?
wenn nicht - reicht dei system vollkommen. Und die bösen absichten der user , sowie dren dummheit (wenn einer sein password auf die wand in der öffenlichen toilette schreibt kannst du ja nichts für) muss man akzeptieren um das unnötige absterben von nervenzellen zu vermeiden, "fatalismus hält dich gesund" ;)
MFG
bleicher--
__________________________-
Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).-
Tach.
die frage ist - wird sich ein "echter" hacker die mühe mahcen deine seite zu hacken?
wenn nicht - reicht dei system vollkommen.Du würdest dich wundern, in welch große Programme solche "Sicherungen" es mitunter schaffen. Aus Gewohnheit... "Wir haben das bisher immer so gemacht".
Nur weil es vielleicht ein kleineres Projekt ist, für das sich nicht hunderttausende Leute interessieren – über die Größenordnung hatt cooker ja noch gar nichts gesagt ;) –, muß ja nicht extra die unsicherere Methode verwendet werden. Oder ist das so eine Art Shareware-Denken? Die sichere(re) Alternative gibt es erst beim Erwerb der Vollversion.
Und die bösen absichten der user , sowie dren dummheit (wenn einer sein password auf die wand in der öffenlichen toilette schreibt kannst du ja nichts für) muss man akzeptieren um das unnötige absterben von nervenzellen zu vermeiden
Ich finde eher, daß Probleme durch solches Vorgehen nicht extra provoziert werden müssen, wenn man sie als solche erkannt hat! Vor allem nicht, wenn bessere Alternativen bekannt sind, die mit ähnlichem Aufwand implementiert werden können.
--
Once is a mistake, twice is jazz.
-
-
-
Tach.
füg noch password hinzu (als 2e zeile in cookie), und überlass es dem user sich ausreichend gegen trojaner/würmer zu schützen die sich auf cookie-klau spezielisieren
Und was spricht dagegen, diese Daten auf dem Server zu lassen? Gespeichert in einer Session, über deren ID aus dem Cookie sich der Benutzer nach der erfolgreichen Anmeldung zu erkennen gibt.
Bei direktem Zugriff auf den Rechner kann natürlich immer noch jemand diese ID klauen und somit die Session "hijacken", aber er kann damit – je nach Applikation – weniger Schaden anrichten als mit dem Paßwort. Auch MD5 o.ä. Hashes lassen sich oft genug in absehbarer Zeit cracken. Hingegen laufen die Sessions i.d.R. immerhin nach einer gewissen Zeit ab, so daß nach ein paar Stunden eventuelle auf dem Rechner zu findende Session-IDs in Cookies nutzlos sind.
--
Once is a mistake, twice is jazz.
-