«
»

Do not use Cookies for authentication

Mal davon ab, das man Cookies sowieso editieren kann, kann man das mit der richtigen Firefox Extension noch einfacher haben: Add N Edit Cookies :
Cookie Editor that allows you add and edit “session” and saved cookies.

Wenn jetzt also z.B. die ID eines Benutzers in einem Cookie gespeichert wird, die nicht irgendwie verschlüsselt oder durch eine Session-ID in Form von UUIDs “sicher” geamacht wurde, ist es so ein leichtes sich als jemand anders auszugeben. Bei der Entwicklung einer Webapplikation sollte das also doch bedacht werden.

This entry was posted on Friday, July 29th, 2005 at 11:23 and is filed under Bauen. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

2 Responses to “Do not use Cookies for authentication”

  1. Samy Deluxe Says:
    August 3rd, 2005 at 10:37

    Im Gegenteil! Cookies erhöhen die Sicherheit! Die alternative dazu, wäre die sid an die URL zu hängen und das wäre noch schlimmer. Verleitet zum Bookmarken oder kopieren etc. …

    Weiterhin lässt sich nur die Identität einer anderen Session übernehmen, wenn man eine gültige Session ID errät! Und das ist verdammt schwierig.
    Z.B. bei einer 32 stelligen Hexadezimalzahl gibt es 16 hoch 32 Möglichkeiten, wenn mich nicht alles täuscht, viel Spass beim Raten ;-)
    Zudem sind Sessions i.d.R. zeitlich begrenzt.

    Natürlich lässt sich eine Session übernehmen wenn man den Cookie abfängt. Am sichersten ist es wenn der Cookie verschlüsselt übertragen wird und beim Schließen des Browsers sofort wieder gelöscht wird.

  2. Hagen Says:
    August 4th, 2005 at 08:42

    Da hast du nicht unrecht Samy, aber es gibt durchaus auch Anwendungen bei denen in dem Cookie nur die ID des angemeldeten Benutzers gespeichert wird, also ganz stumpf ein Integer Wert, und der ist lange nicht so sicher.