hi,

ich habe konkrete Hinweise darauf, dass ein Benutzer versucht, Benutzer meine Seite bzw. des phpBB2 Forums auf seine Seite zu locken, dort dann das Cookie zum Forum auszulesen, und anschließend dieses selbst dieses Cookie in den Browser zu geben.

Daher meine Fragen:
1.) Ist das überhaupt möglich?

Nur unter sehr speziellen Umständen.

Auf einer fremden Seite eigentlich kaum - eher schon, wenn deine eigene Seite für Cross-Site-Scripting anfällig wäre. Dann könnte man dort z.b. Javascript-Code platzieren, der die Cookies des Benutzers ausliest, und an einen fremden Server überträgt ...

2.) Wenn ja, was kann man machen, um das Risiko zu minimieren?

Auf Cookies zur Authentifizierung verzichten zum Beispiel :-)

gruß,
wahsaga