Ich habe da mal eine theoretische Frage.

Wenn ich zum Beispiel von der Seite www.xyz12345.de einen Cookie bekomme, ist es dann möglich genau diesen Cookie von der Seite www.abc54321.de auszulesen?

Ich stelle mir die Frage weil ich schon oft festgestellt habe, dass viele Seiten Name und Passwort in Cookies Speicher, was sich mir dann natürlich als riesen Sicherheitslücke darstellt.

Gruß Olly

nein geht natürlich nicht.

nein geht natürlich nicht.

Hm, müsste eher so heißen: Im Prinzip nein, aber...

Google mal nach "cookies cross site scripting". Hier http://bueltge.de/cross-site-scripting-xss/477/ und hier http://www.gnucitizen.org/xssdb/application.htm sind ein paar schöne Beispiele aufgeführt.

Meine Meinung ist, dass man mit Cookies generell vorsichtig sein sollte - ich lasse mir alle Cookie-Anforderungen von Webseiten bestätigen und lehne im Zweifelsfall lieber ab.

Jan

Hm, müsste eher so heißen: Im Prinzip nein, aber...

Google mal nach "cookies cross site scripting". Hier http://bueltge.de/cross-site-scripting-xss/477/ und hier http://www.gnucitizen.org/xssdb/application.htm sind ein paar schöne Beispiele aufgeführt.

Meine Meinung ist, dass man mit Cookies generell vorsichtig sein sollte - ich lasse mir alle Cookie-Anforderungen von Webseiten bestätigen und lehne im Zweifelsfall lieber ab.

Jan

bei XSS fügt ein Angreifer Code (javascript) auf der seite von www.xyz12345.com ein, der den Cookie an die Seite www.abc54321.com schickt.
Dh der Cookie wird schon vom Code der Seite www.xyz12345.com ausgelesen.


Aber eine Seite www.abc54321.com kann NICHT die Cookies von www.xyz12345.com auslesen.