Anmelde-Formular
Strohhalm Spendenkonto
Konto-Inhaber: Mathias Bank
Konto-Nummer: 83 04 297
BLZ: 200 905 00
Kreditinstitut: Netbank AG
Hinweis: Die Spenden werden bis auf weiteres ausschließlich dafür eingesetzt, den Strohhalm gegen rechtliche Angriffe zu schützen. Ein anderer Verwendungszweck muss von der gesamten Administration genehmigt werden.
aktueller Spendenstand: 188.01 €
strohhalm Standard (aktiv) von baumeister
(Noch keine User-Stylesheets vorhanden)
Hinweis: Zum Wechseln der Styles muss ein Cookie akzeptiert werden. Jedes registrierte Community-Mitglied darf eigene Styles entwickeln und einreichen. Ausführliche Infos unter Styleswitcher-Hilfe.
Neue Styles an baumeister@strohhalm.org senden.
idealist 15. August 2004, 04:09
Hallo,
ich schreibe gerade einen Admin-Bereich in dem ich den eingeloggten Benutzer in einem Cookie speichere.
Jetzt meine Greenhorn-Frage:
Reicht es, wenn ich einfach die Existenz des Cookies als Login-Nachweis abfrage? Oder kann man Cookies "manuell fälschen"?
Würde mich über Aufklärung freuen.
Grüße,
idealist
drummerboy 15. August 2004, 09:09
den inhalt von cookies kannst du manuell fälschen. also wär eine session-id, die praktisch nur den zusammenhang mit den "richtigen" daten auf dem server herstellt, sehr viel sicherer. die session id wird dann z.b. von php automatisch erzeugt. wenn du die selber machen willst: gut is z.b. (microtime) * (rand) * (dezimalisierte ip-nummer)
drummerboy
idealist 18. August 2004, 01:06
Danke für die rasche Antwort.
Kann man lediglich den Inhalt eines Cookies fälschen oder ist es sogar möglich den kompletten Keks selbst "nachzubauen"?
Grüße,
idealist
wahsaga 18. August 2004, 11:18
> Kann man lediglich den Inhalt eines Cookies fälschen oder ist es sogar möglich den kompletten Keks selbst "nachzubauen"?
na ja, das ist doch kaum ein unterschied.
ein cookie besteht aus einem namen und einem wert, und wird über HTTP-header beim request mit übertragen.
und das ist natürlich beliebig manipulierbar. mit einem "normalen" browser natürlich nicht so ganz einfach - aber HTTP kann man ja über beliebige clients oder scripte benutzen. die spezifikationen des protokolls kann jeder in den entsprechenden RFCs nachlesen, und sich dann seinen eigenen client bauen, der beliebige daten an deinen server schickt.
idealist 18. August 2004, 16:05
Ok, herzlichen Dank euch beiden.
Werde dann wohl doch auf ein Session-Cookie umsteigen.
