Hallo und guten Tag,

Deshalb lässt Du Deine Finger vom Cookie! Wenn Du hier kompetenten Rat haben willst, solltest Du auch beherzigen, was man Dir rät (wie z.B. PHPs eigenen Session-Mechanismus zu verwenden, denn die sind mit ihren Erfahrungen schon sehr viel weiter als Du!).

Der benutzt auch ein Cookie, nur eben keines, das nach dem Instanztod des Browserfensters noch beim Client gespeichert bleiben sollte!

Und damit das Cookie oder auch Sessiontoken auf der Reise von und zum Server nicht gelesen werden kann, sollte die Übertragung ja auch vershlüsselt stattfinden.

Die Kenntnis eines Sessiontokens einer "angemeldeten" Session sollte ausßerdem nicht ausreichen, das Passwort eines Users zu ändern. Dazu sollte immer noch das alte Passwort zusätzlich notwenig sein. Während dieses Requestpaket übers Netz läuft, besteht dann selbstverständlich wieder Unsicherheit. Wer dann in einer unverschlüsselten Verbindung an dieser Stelle abfangen, umleiten, verändern und weiterleiten kann, hat gewonnen.

Grüße
TS