Comments on: Do not use Cookies for authentication http://codefreak.de/archiv/2005/07/29/do-not-use-cookies-for-authentication/ Weblog von Hagen Langbartels Thu, 04 Aug 2005 06:42:58 +0000 hourly 1 https://wordpress.org/?v=5.3.2 By: Hagen http://codefreak.de/archiv/2005/07/29/do-not-use-cookies-for-authentication/comment-page-1/#comment-11028 Thu, 04 Aug 2005 06:42:58 +0000 http://codefreak.de/archiv/2005/07/29/do-not-use-cookies-for-authentication/#comment-11028 Da hast du nicht unrecht Samy, aber es gibt durchaus auch Anwendungen bei denen in dem Cookie nur die ID des angemeldeten Benutzers gespeichert wird, also ganz stumpf ein Integer Wert, und der ist lange nicht so sicher.

]]> By: Samy Deluxe http://codefreak.de/archiv/2005/07/29/do-not-use-cookies-for-authentication/comment-page-1/#comment-11024 Wed, 03 Aug 2005 08:37:25 +0000 http://codefreak.de/archiv/2005/07/29/do-not-use-cookies-for-authentication/#comment-11024 Im Gegenteil! Cookies erhöhen die Sicherheit! Die alternative dazu, wäre die sid an die URL zu hängen und das wäre noch schlimmer. Verleitet zum Bookmarken oder kopieren etc. …

Weiterhin lässt sich nur die Identität einer anderen Session übernehmen, wenn man eine gültige Session ID errät! Und das ist verdammt schwierig.
Z.B. bei einer 32 stelligen Hexadezimalzahl gibt es 16 hoch 32 Möglichkeiten, wenn mich nicht alles täuscht, viel Spass beim Raten ;-)
Zudem sind Sessions i.d.R. zeitlich begrenzt.

Natürlich lässt sich eine Session übernehmen wenn man den Cookie abfängt. Am sichersten ist es wenn der Cookie verschlüsselt übertragen wird und beim Schließen des Browsers sofort wieder gelöscht wird.

]]>