Moin!

• Der Cookie soll nicht nach einer gewissen Zeit verfallen, sondern anhand des Timestamps im Cookie kann ich sehen, ob die Auto-Logout-Zeit schon verstrichen ist und dem entsprechend reagieren.

Blödsinn! Dann manipuliere ich den Cookie und kann immer eingeloggt sein. Du mußt serverseitig wissen, wann der User zuletzt Aktivitäten hatte, und nach einer gewissen Zeit der Inaktivität ein neues Login fordern.

• Das ganze ist immer noch um ein paar Ecken sicherer als eine unverschlüsselte Übertragung der Daten in Verbindung mit PHP-Sessions, denn die haben auch ihre Tücken...

Das ganze ich qualitativ genauso sicher, wie PHP-Sessions.

Denn es passiert genau folgendes: Der Server akzeptiert Klartext vom Server und gibt daraufhin gesicherte Informationen preis. Den Klartext kann man abhören und in einem zweiten Request 1:1 neu senden. Und kriegt mußmaßlich dieselbe Antwort.

• Vorraussetzung für das ganze ist natürlich, dass der Client Javascript und Cookies zulässt... (hab ich nie bestritten und sehe ich nicht als Nachteil)

Ich würde es schon als Nachteil sehen. Zumal es nichts bringt. Jedenfalls keinen sicherheitstechnischen Vorteil.

- Sven Rautenberg