nicht angemeldet
Cookie durch fremde Seiten auslesbar?
Hallo,
ich habe konkrete Hinweise darauf, dass ein Benutzer versucht, Benutzer meine Seite bzw. des phpBB2 Forums auf seine Seite zu locken, dort dann das Cookie zum Forum auszulesen, und anschließend dieses selbst dieses Cookie in den Browser zu geben.
Daher meine Fragen:
1.) Ist das überhaupt möglich?
2.) Wenn ja, was kann man machen, um das Risiko zu minimieren?
-
hi,
ich habe konkrete Hinweise darauf, dass ein Benutzer versucht, Benutzer meine Seite bzw. des phpBB2 Forums auf seine Seite zu locken, dort dann das Cookie zum Forum auszulesen, und anschließend dieses selbst dieses Cookie in den Browser zu geben.
Daher meine Fragen:
1.) Ist das überhaupt möglich?Nur unter sehr speziellen Umständen.
Auf einer fremden Seite eigentlich kaum - eher schon, wenn deine eigene Seite für Cross-Site-Scripting anfällig wäre. Dann könnte man dort z.b. Javascript-Code platzieren, der die Cookies des Benutzers ausliest, und an einen fremden Server überträgt ...
2.) Wenn ja, was kann man machen, um das Risiko zu minimieren?
Auf Cookies zur Authentifizierung verzichten zum Beispiel :-)
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Hallo wahsaga,
2.) Wenn ja, was kann man machen, um das Risiko zu minimieren?
Auf Cookies zur Authentifizierung verzichten zum Beispiel :-)
Hätte er dann nicht das Problem, dass das Board die Session-ID an die URL anhängen würde? In dem Fall wäre es für den Hijacker ja noch einfacher, oder habe ich das falsch verstanden? Werden Parameter erfasst?
Gruß,
small-step
-