Opened by rosti at 2024-05-14 18:02
User since
2012-05-04
1075 Artikel
BenutzerIn
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2012-05-04
1075 Artikel
BenutzerIn
2024-05-15T10:45:34 rosti2024-05-15T10:37:11 biancaNein. Benutzer und Passwort haben im Cookie nichts zu suchen!
Warum nicht? Erstens sind Cookies lokal und zweitens werden Cookies verschlüsselt übertragen sofern HTTPS. Und drittens kann man das Passwort auch als Hash in den Cookie schreiben.
Ein gehashtes Passwort im Cookie bringt dir doch nichts, du musst dich immer mit dem echten Passwort identifizieren, nicht mit dem Hash.
Cookies werden normalerweise unverschlüsselt auf dem Computer des Benutzers gespeichert. Wenn das Passwort im Klartext im Cookie gespeichert wird, kann es von bösartigen Personen leichter abgefangen werden.
Man darf sich nicht immer nur den "so soll es sein"-Fall angucken (in welchem z.B. es keine MitM-Angriffe gibt), sondern auch, wie man Probleme/Folgen minimiert, wenn irgendwer doch irgendwie, sei es aus Versehen oder per Sicherheitslücke, Zugriff auf entweder eine Cookies oder z.B. dan Passwort-Hash belkommt.
Last edited: 2024-05-15 13:14:10 +0200 (CEST)