Sichere SSL-Cookies in PHP
Dienstag, 12. August 2008 |
7 Kommentare
In einem heute auf Heise.de veröffentlichten Bericht wurde noch einmal auf ein seit längerem bekanntes Sicherheitsproblem mit SSL-verschlüsselten Websites und Cookies hingewiesen.
Das Szenario
Das Szenario für das Sicherheitsproblem ist das folgende:
Ein User verbindet sich mit einer durch SSL geschützten Website wie google-mail.
Er gibt über die sichere, da verschlüsselte Verbindung seine persönlichen Zugangsdaten ein.
Seinem Browser wird daraufhin eine eindeutige Session-Id mittels Cookie zugewiesen, so dass der Benutzer identifiziert bleibt.