Hallo,

|nein, können sie nicht - der Cookie kann nur von der Domain die ihn gesetzt hat ausgelesen werden.

Ich meinen einen User Cookie, und diese werden auf dem PC des User gespeichert und jeder mit einem Editor kann die Daten aulesen.

Ein Cookie von meinem Forum sieht z.B. so aus:

<<<< ==== Cookie ======= >>>>>>>>>
Clanwissen_user
Andavos
localhost/PHP/ccb_latest/cb/
1024
3892743296
29665874
1463039632
29645758
*
Clanwissen_pw
6d0a8c7765ac747fcbcb8a9b8109aaf3
localhost/PHP/ccb_latest/cb/
1024
3892743296
29665874
1463039632
29645758
*
<<<< ==== Cookie Ende ======= >>>>>>>>>

Wie man sieht steht unter Clanwissen_pw das Passwort (md5 Hash).
Was ich komisch finde sind die Zahlen, denn wenn man Anda als Loginname nimmt, wird aus 3892743296 => 447776000 und aus 1463039632 => 2310959632

Die restlichen Zahlen sind gleich.

Wenn ich jetzt auf meinem Board Andavos heiße, und mich als Anda einloggen möchte, und ich den Hash von Anda habe (aus einem anderem Board), so schreibe ich da den neuen Username rein, den neuen Hash (aus dem anderem Board) und lasse dann mit einem Programm die Zahlen berechnen.

Schon könnte ich als Anda da surfen, was riesen Schaden anrichten könnte wenn Anda der Admin ist.

MFG
Andavos