Sky.NET (19.10.2012)
Thema: Passwörter in Cookies
-
19.10.2012, 21:17 #1
- Registriert seit
- 02.12.2011
- Beiträge
- 33
Thanked 9 Times in 3 PostsPasswörter in Cookies
Hallo Leute,
nach langer Zeit bin ich auch mal wieder unter euch. Ich habe eine eventuell einfache Frage:
Wenn sich jemand bei mir einloggt und die Cookies für Facebook und Co. speichert, dann kann ich mich Tagelang danach auch noch einloggen.
Somit denke ich, dass die Passwörter irgendwo im Browser zwischengespeichert sein müssen oder zumindest ein Hashcode oder sowas.
Man kann keine Passwörter aus Cookies rauslesen, weil die verschlüsselt sind, gibt es eine andere Möglichkeit?
Dachte Laienhaft daran, die Cookies selbst nochmal extra abzuspeichern?
Danke für eure Tipps
-
19.10.2012, 21:24 #2
AW: Passwörter in Cookies
Moin,
also ich kenn keinen Anbieter, der Passwörter in Cookies zwischenspeichert. Die Cookies die man kennt sind meistens einfache Auth-Codes die bei größeren Sachen meist mit einer einfachen DB Abfrage zusammenhängen und dann überprüfen ob der Cookie gesetzt ist, wenn ja, die Person mit dem dementsprechenden Cookie einloggen.
Genau dies ist auch der Grund warum beispielsweise die Account-Börse funktioniert.
-
19.10.2012, 22:09 #3
- Registriert seit
- 18.12.2011
- Beiträge
- 159
- Blog Entries
- 2
Thanked 182 Times in 98 PostsAW: Passwörter in Cookies
Um vielleicht das Ganze noch ein wenig abzurunden, in Cookies werden keine Passwörter gespeichert sondern sog. „Auth-Codes” oder SessionIDs. Wenn du dich einloggst, generiert Facebook und Co. einen Cookie mit einem einzigartigen Schlüssel, der verweist in der Datenbank auf deine Informationen. Welche Faktoren bei der Generierung des Schlüssel eine Rolle spielen, bleibt für gewöhnlich Betriebsgeheimnis. Im Normalfall sind sie aber zufällig generiert, denn sie enthalten keine wirklichen Informationen über deine Person.
Der Vorteil liegt auf der Hand; sollte es einem Angreifer z.B. über einen MITM gelingen diese ID abzufangen, dann kann er sich zwar einloggen aber auch nur solange, wie der Schlüssel im Cookie gültig ist* und der Angreifer ist weder im Besitz deines Passwortes, noch im Besitz von irgendwelchen anderen vertraulichen Informationen.
* Bei Facebook kann man die aktiven Sitzungen beenden über „Den Pfeil oben rechts -> Kontoeinstellungen -> Sicherheit -> Aktive Sitzungen -> Aktivität beenden”. Der Cookie beim Endgerät ist dann nicht mehr brauchbar.
-
The Following User Says Thank You to Raumi For This Useful Post:
Ähnliche Themen
-
VB.Net Cookies aus WebControl bzw. IE löschen
Von Next im Forum .NetAntworten: 3Letzter Beitrag: 22.04.2013, 19:49 -
[HowTo] Sichere Passwörter
Von DMW007 im Forum TutorialsAntworten: 9Letzter Beitrag: 20.01.2013, 19:21 -
Youtube-Abo-Script über Cookies
Von Baumstumpf im Forum Internet und TechnikAntworten: 13Letzter Beitrag: 29.05.2012, 13:41 -
Java Applet & Cookies
Von uncopyable im Forum JavaAntworten: 1Letzter Beitrag: 04.12.2011, 18:25
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.