Frieder
unregistriert
Zitat
Zur Aufklärung: Was ist ein Cookie?
Ein Cookie ist ein Textbrocken, der von einer Website im Browser des Benutzers gespeichert werden, und von dieser (und nur von dieser) Website später wieder gelesen werden kann.
Zusätzlich wird verspeichert, wie lange dieses Cookie "gültig", also vom Browser gespeichert werden soll. Wird so ein Zeitpunkt nicht angegeben, wird das Cookie beim Beenden des Browsers gelöscht ("Session Cookie").
Was kann an Cookies "gefährlich" sein?
Sicherheitslücken von Browsern, besonders MSIE, die ermöglichen könnten, dass die in einem Cookie gespeicherte Information auch von anderen Websites gelesen werden könnte. Alle bekannten Sicherheitslücken wurden in Mozilla schon vor längerer Zeit beseitigt, und es sind tortz intensivster Suche schon einige Zeit keine neuen mehr aufgetaucht.
Manche Websites, besonders Werbeanbieter (z.B. doubleclick.net), verwenden Cookies, um das Benutzerverhalten zu "tracken". Erkennt man ein beim Benutzer längerfristig gespeichertes Cookie, so kann man festhalten, wann und wie oft der Benutzer verschiedene Seiten aufruft, die Werbebanner der gleichen Firma tragen.
Ein solches Tracking funktioniert zwar grundsätzlich auch ohne Cookies, ist aber mit Cookies klarer und einfacher programmierbar.
Sehr, sehr viele Fehlinformationen der Medien und Tools, die implizieren, dass jegliche Cookies überall eliminiert werden müssen.
Wie ein Kollege im IRC-Chat meinte "die vielen anti-cookie-tools bei CHIP, ComputerBlöd & Co. suggerieren eben, dass Cookies eine Gefahr darstellen"
Zitat
Sessions and security
Wenn Sie Sessions verwenden, bedeutet das nicht, dass Sie absolut sicher sein können, dass die Session-Daten nur vom jeweiligen Benutzer gesehen werden können. Es ist wichtig, dass Sie beim Speichern und Anzeigen sensibler Daten daran denken. Wenn Sie Daten in einer Session speichern, sollten Sie sich immer fragen, wie groß der Schaden ist, wenn jemand anderes diese Informationen sieht oder inwieweit Ihre Anwendung davon betroffen ist, wenn die Session in Wirklichkeit von jemand anderem benutzt wird.
Kann zum Beispiel jemand, der eine Session übernimmt, als dieser Benutzer eine Nachricht an ein Forum senden und stellt das ein großes Problem dar? Oder vielleicht kann er sehen, was der ursprüngliche Benutzer zu bestellen beabsichtigte, weil er Zugriff auf den Einkaufswagen dieses Benutzers bekommt. Für einen Blumenladen wäre das offensichtlich weniger dramatisch als für eine Apotheke.
Deshalb sollte es beim Umgang mit sensiblen Daten immer zusätzliche Methoden geben, mit denen festgestellt werden kann, ob es sich um eine gültige Session handelt. Sessions sind als Mechanismus für sichere Authentifizierung nicht verlässlich.
Sessions vertrauen auf die Session-ID, was bedeutet, dass eine Session 'gestohlen' werden kann, indem die Session-ID gestohlen wird. Dies kann durch Verwendung eines Cookies, speziell eines Session-Cookies, erschwert werden, aber das macht es keinesfalls unmöglich und stützt sich immer noch darauf, dass der Benutzer alle Browserfenster schließt, damit das Cookie verfällt. Außerdem können auch Session-Cookies in einem Netzwerk ausgeschnüffelt werden oder von einem Proxyserver protokolliert werden.