Browser: Sicherheitslücken bei Behandlung von Cookies

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von Dr. Hechel, 3. Februar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Dr. Hechel

    Dr. Hechel Halbes Megabyte

    Registriert seit:
    28. September 2005
    Beiträge:
    884
    Und ganz wichtig!
    Niemals das "Krümelmonster" hereinlassen!
     
  2. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.657
    Ich finde die ganz nett

    [​IMG]

    [​IMG]
     
  3. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    mal abgesehen davon, dass die überprüfung auf die richtige domain gelindegesagt *dumm* implementiert ist (2 punkte und irgendwo - mitten drin' - ein com :huh: :grübel: )

    wie soll sich denn das ausnutzen lassen bzw welchen sinn soll es haben ein cookie zu manipulieren? da steht ja nicht "Username:abc, Passwort:123" drinnen sondern nur irgend ein pseudozufälliger schlüssel, der dann in der datenbank des shops zu einem benutzer passt.

    und nur so nebenbei: wenn ein angreifer mal so weit ist einen eintrag in die hosts meines pcs zu schmuggeln, dann kann er die cookies auch direkt im dateisystem suchen und ändern.
     
  4. Dr. Hechel

    Dr. Hechel Halbes Megabyte

    Registriert seit:
    28. September 2005
    Beiträge:
    884
    Super Bilder! Ich mochte und mag noch heute das Krümelmonster! Bin sowieso u. a. noch ein alter "Muppets-Fan"!
     
  5. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    @Michi0815

    Die Zielrichtung ist eine ganz andere. Wenn eine fremde Seite einen Cookie setzen/lesen kann, kann man das auch auf unterschiedlichen Seiten tun - d.h. meist werden in dem Cookie die IP-Adresse und ein eindeutiger Code gespeichert, welcher auf einem zentralen Server ausgewertet und aktuallisiert wird. Damit kann man recht einfach Bewegungsprofile von Usern erstellen. Es geht sogar soweit, dass z.B. ein Shop, die Kundendaten an diesen Server übermittelt. Damit werden die Bewegungsdaten personalisiert. Selbst wenn jede Seite nur "unbedeutende" Daten erhebt oder weitergibt, kann man daraus den realen Lebenslauf einer Person zu seiner virtuellen Identität erstellen. Und das ganze funktioniert unabhängig von wechselnden IP-Adressen, Rechnern usw.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen