Kann man Cookies so ohne weiteres faken?

rox²³ · Beitrag von **rox²³** » 19.03.2007 11:35

Ich prüfe die eingabe des Logins und des Passworts stimmen die überein wird das Cookie geschrieben mit Username, Passwort und Userid.
Kann man jetzt das Cookie faken?
Bzw wie mache ich das wenns geht. Hab das mal probiert den Username zu manipulieren als normaler Member. Hab die Cookiedaten einfach mit dem Username vom Adminaccount genommen. Allerdings löscht sich das Cookie dann komischerweise sobald ich da dran rummanipuliere und ich bin garnicht eingeloggt.

Kennt sich jemand mit der Materie aus brauch da etwas nachhilfeunterreicht^^

larsneo · Beitrag von **larsneo** » 19.03.2007 11:40

ja, cookies kann man genauso wie alle anderen GET/POST parameter recht einfach verändern. aus diesem grund solltest du sensitive informationen auch niemals dort speichern, sondern dir z.b. das php-session-management zu nutze machen und nach erfolgreicher authentifizierung lediglich einen session-keks erzeugen lassen.

ganz interessante feuerfuchs addons in diesem zusammenhang:
* Tamper Data -- https://addons.mozilla.org/firefox/966/
* Modify Headers -- https://addons.mozilla.org/firefox/967/
* Web Developer -- https://addons.mozilla.org/firefox/60/

rox²³ · Beitrag von **rox²³** » 19.03.2007 11:48

Also könnte ich es dann auch so machen das ich jedesmal neu prüfe ob das Passwort vom Cookie noch richtig ist mit der in der Datenbank vom User.
Das würde dann die möglichkeit ausschließen das sich jemand zugriff verschafft nur anhand des Usernamen. Bzw. wenn jemand das passwort weiß iss es eh wurscht ob ers cookie manipuliert oder sich gleich mit den Daten einloggt.

larsneo · Beitrag von **larsneo** » 19.03.2007 12:52

interessanter ist doch schon eher die frage, was du machst, wenn jemand via xss die cookies deiner benutzer abgrast und so an vertrauliche daten kommt

wie gesagt: sensitive daten gehören nicht in den keks!

rox²³ · Beitrag von **rox²³** » 19.03.2007 13:08

Danke erstmal für deinen Tip xss ist bei mir unmöglich daher ist das ausgeschlossen das man dadurch etwas machen kann. Sessions möchte ich nicht in betracht ziehen da das mir zu umständlich ist das einzubauen weil sind doch mittlerweile viele files und die arbeit wäre enorm.

Es gibt da nur für mich die möglichkeit POST/GET genaustens unter die Lupe zu nehmen und alles ausschließen was auszuschließen ist/geht.

larsneo · Beitrag von **larsneo** » 19.03.2007 13:18

Danke erstmal für deinen Tip xss ist bei mir unmöglich

benutzt du statische seiten?

rox²³ · Beitrag von **rox²³** » 19.03.2007 13:36

larsneo hat geschrieben:
Danke erstmal für deinen Tip xss ist bei mir unmöglich
benutzt du statische seiten?

Ne dynamisch um genau zu sagen handelt es sich um ne Forensoftware.

Hab deine FF Addons gerade erst jetzt entdeckt die sind mal sehr nützlich thx