Seite 1 von 1
Kann man Cookies so ohne weiteres faken?
Verfasst: 19.03.2007 11:35
von rox²³
Ich prüfe die eingabe des Logins und des Passworts stimmen die überein wird das Cookie geschrieben mit Username, Passwort und Userid.
Kann man jetzt das Cookie faken?
Bzw wie mache ich das wenns geht. Hab das mal probiert den Username zu manipulieren als normaler Member. Hab die Cookiedaten einfach mit dem Username vom Adminaccount genommen. Allerdings löscht sich das Cookie dann komischerweise sobald ich da dran rummanipuliere und ich bin garnicht eingeloggt.
Kennt sich jemand mit der Materie aus brauch da etwas nachhilfeunterreicht^^
Verfasst: 19.03.2007 11:40
von larsneo
ja, cookies kann man genauso wie alle anderen GET/POST parameter recht einfach verändern. aus diesem grund solltest du sensitive informationen auch niemals dort speichern, sondern dir z.b. das php-session-management zu nutze machen und nach erfolgreicher authentifizierung lediglich einen session-keks erzeugen lassen.
ganz interessante feuerfuchs addons in diesem zusammenhang:
* Tamper Data --
https://addons.mozilla.org/firefox/966/
* Modify Headers --
https://addons.mozilla.org/firefox/967/
* Web Developer --
https://addons.mozilla.org/firefox/60/
Verfasst: 19.03.2007 11:48
von rox²³
Also könnte ich es dann auch so machen das ich jedesmal neu prüfe ob das Passwort vom Cookie noch richtig ist mit der in der Datenbank vom User.
Das würde dann die möglichkeit ausschließen das sich jemand zugriff verschafft nur anhand des Usernamen. Bzw. wenn jemand das passwort weiß iss es eh wurscht ob ers cookie manipuliert oder sich gleich mit den Daten einloggt.
Verfasst: 19.03.2007 12:52
von larsneo
interessanter ist doch schon eher die frage, was du machst, wenn jemand via xss die cookies deiner benutzer abgrast und so an vertrauliche daten kommt
wie gesagt: sensitive daten gehören nicht in den keks!
Verfasst: 19.03.2007 13:08
von rox²³
Danke erstmal für deinen Tip xss ist bei mir unmöglich daher ist das ausgeschlossen das man dadurch etwas machen kann. Sessions möchte ich nicht in betracht ziehen da das mir zu umständlich ist das einzubauen weil sind doch mittlerweile viele files und die arbeit wäre enorm.
Es gibt da nur für mich die möglichkeit POST/GET genaustens unter die Lupe zu nehmen und alles ausschließen was auszuschließen ist/geht.
Verfasst: 19.03.2007 13:18
von larsneo
Danke erstmal für deinen Tip xss ist bei mir unmöglich
benutzt du statische seiten?
Verfasst: 19.03.2007 13:36
von rox²³
larsneo hat geschrieben:Danke erstmal für deinen Tip xss ist bei mir unmöglich
benutzt du statische seiten?
Ne dynamisch um genau zu sagen handelt es sich um ne Forensoftware.
Hab deine FF Addons gerade erst jetzt entdeckt die sind mal sehr nützlich thx
