Anmelde-Formular
idealist 15. August 2004, 04:09
Hallo,
ich schreibe gerade einen Admin-Bereich in dem ich den eingeloggten Benutzer in einem Cookie speichere.
Jetzt meine Greenhorn-Frage:
Reicht es, wenn ich einfach die Existenz des Cookies als Login-Nachweis abfrage? Oder kann man Cookies "manuell fälschen"?
Würde mich über Aufklärung freuen.
Grüße,
idealist
drummerboy 15. August 2004, 09:09
den inhalt von cookies kannst du manuell fälschen. also wär eine session-id, die praktisch nur den zusammenhang mit den "richtigen" daten auf dem server herstellt, sehr viel sicherer. die session id wird dann z.b. von php automatisch erzeugt. wenn du die selber machen willst: gut is z.b. (microtime) * (rand) * (dezimalisierte ip-nummer)
drummerboy
idealist 18. August 2004, 01:06
Danke für die rasche Antwort.
Kann man lediglich den Inhalt eines Cookies fälschen oder ist es sogar möglich den kompletten Keks selbst "nachzubauen"?
Grüße,
idealist
wahsaga 18. August 2004, 11:18
> Kann man lediglich den Inhalt eines Cookies fälschen oder ist es sogar möglich den kompletten Keks selbst "nachzubauen"?
na ja, das ist doch kaum ein unterschied.
ein cookie besteht aus einem namen und einem wert, und wird über HTTP-header beim request mit übertragen.
und das ist natürlich beliebig manipulierbar. mit einem "normalen" browser natürlich nicht so ganz einfach - aber HTTP kann man ja über beliebige clients oder scripte benutzen. die spezifikationen des protokolls kann jeder in den entsprechenden RFCs nachlesen, und sich dann seinen eigenen client bauen, der beliebige daten an deinen server schickt.
idealist 18. August 2004, 16:05
Ok, herzlichen Dank euch beiden.
Werde dann wohl doch auf ein Session-Cookie umsteigen.
