Alexander: STOPPT DEN COOKIE-WAHN

Hallo,

ich bin gerade auf http://www.macromedia.com/de vorbeigesurft von wollte mich mal ein wenig über Fireworks 4 informieren, bis ich in einem halben Wutanfall diese Seite wieder verlassen habe.

Ic bin ein Cookie-Entager, da ich den echten und praktischen Nutzen von Cookies nicht sehe (zumindest bei vielen Anwendungen nicht!!!), und mein Nutzerverhalten, wenn auch anonym, nicht preisgeben möchte. Das geht KEINEN was an >)

Oder will Macromedia mir eine noch tollere und personalisierte Seiten erfolglosen Setzen von 13 (!!!) dauerhaften Cookies ermöglichen? Ich glaube nicht.

Enstsagt dem Cookie-Wahn...

Alexander

  1. Moin

    Enstsagt dem Cookie-Wahn...

    Hört sich an wie eine Aufforderung zur Unsicherheit :-). nach allem was ich gelesen habe, sind session-id angreifbarer.

    http://www.fitug.de/debate/0011/msg00152.html

    Viele Grüße

    Swen

    1. Hallo

      Was soll ein cookie ändern? Wenn irgend ein Proxy oder Routerbetreiber abfangen will, was übertragen wird, kann er das auch bei cookies tun.
      Und das problem mit dem referer lässt sich nun wirklich gut umgehen.

      MfG

      Daniel

      1. Und das problem mit dem referer lässt sich nun wirklich gut umgehen.

        Kanst Du mal erklären wie ?

        Ich grübele nämlich auch schon geraume Zeit am problem einer wirklich sicheren Session-ID.

        Gruß

        Rol

        1. Und das problem mit dem referer lässt sich nun wirklich gut umgehen.

          Kanst Du mal erklären wie ?

          Ich grübele nämlich auch schon geraume Zeit am problem einer wirklich sicheren Session-ID.

          Verschlüssel doch einfach den Timestamp (z.B. mit MD5) und leg' eine Verfallsdauer fest!

          Reiner

          1. Verschlüssel doch einfach den Timestamp (z.B. mit MD5) und leg' eine Verfallsdauer fest!

            Egal wie kurz die Verfallszeit auch ist (unter 1 Stunde wahrscheinlich nicht sinnvoll), die Gefahr, dass die SID in den Logfiles des nachfolgendnen Server landet und dort von jemanden anfgeschnappt und verwendet wird besteht immer.
            Ich habe am Anfang noch die IP geprüft und verglichen, ob die IP des SID-Benutzers immer mit der IP des Anmelders (für diese SID) übereinstimmt.
            Allerdings mußte ich feststellen, dass einige user Ihre IP während einen Session wechselten.

            Ich suche immer noch nach einer Lösung...

            Gruß

            Rol

            1. Verschlüssel doch einfach den Timestamp (z.B. mit MD5) und leg' eine Verfallsdauer fest!
              Egal wie kurz die Verfallszeit auch ist (unter 1 Stunde wahrscheinlich nicht sinnvoll), die Gefahr, dass die SID in den Logfiles des nachfolgendnen Server landet und dort von jemanden anfgeschnappt und verwendet wird besteht immer.
              Ich habe am Anfang noch die IP geprüft und verglichen, ob die IP des SID-Benutzers immer mit der IP des Anmelders (für diese SID) übereinstimmt.
              Allerdings mußte ich feststellen, dass einige user Ihre IP während einen Session wechselten.

              Ich suche immer noch nach einer Lösung...

              Unter den genannten Gesichtspunkten KANN es KEINE Lösung geben!!!
              Wenn jemand den Datenstrom fängt, und Dir vorgaukelt, er wäre der richtige User, kannst Du es niemals unterscheiden. Jedenfalls nicht vom richtigen User. Das mit der IP schränkt die Fehler aber schon ein. Und wenn er die IP wechselt, wäre es vielleicht denkbar, auf den IPanfang zu testen, da der Provider meist einen begrenzten IPraum nutzt.

              Reiner

              1. Unter den genannten Gesichtspunkten KANN es KEINE Lösung geben!!!

                So ist es ja mit vieln Problemen mit denen wir uns hier herumschlagen. Man sollte es aber so sicher wie möglich machen.

                Und wenn er die IP wechselt, wäre es vielleicht denkbar, auf den IPanfang zu testen, da der Provider meist einen begrenzten IPraum nutzt.

                Das ist 'ne gute Idee, werd's ausprobieren, danke.

                Gruß

                Rol.

  2. Hallo!

    Ic bin ein Cookie-Entager, da ich den echten und praktischen Nutzen von Cookies nicht sehe (zumindest bei vielen Anwendungen nicht!!!), und mein Nutzerverhalten, wenn auch anonym, nicht preisgeben möchte. Das geht KEINEN was an >)

    Oder will Macromedia mir eine noch tollere und personalisierte Seiten erfolglosen Setzen von 13 (!!!) dauerhaften Cookies ermöglichen? Ich glaube nicht.

    Enstsagt dem Cookie-Wahn...

    Du hast die Wahl, Cookies abzustellen. Seiten die Du aufgrund fehlender Cookieaktivierung nicht besuchen kannst, heben eben Pech! Macromedia kannst Du auch mit Cookiedeaktivierung besuchen!

    Wenn Du mal richtig geschaut hättest, setzt nicht macromedia die Cookies, sondern Doubleclick. Klares Usertracking, hat aber nichts mit den Funktionsweise der macromedia Seite zu tun.

    MfG, André Laugks