Opera: Passwort in plain-text in Cookiedatei?

Re: Opera: Passwort in plain-text in Cookiedatei?

GriLLe — Wed, 16 Aug 2006 05:43:34 GMT

Hi
Die Bowser sind da nicht die Bösen. Cookies sind per definition plain Text, was da rein kommt, bestimmt die Webseite. Klartextpasswort machen viele Sites, nicht nur Geizhals - Eigentlich ist das ein uralter Hut mit Großvaterbart. Genau darum wurde bei den diversen Mozilla-Produkten (und sicher auch bei einigen anderen Browsern, vermutlichb auch bei Opera) die Möglichkeit vorgesehen Cookies individuell zuzulassen, für den Einzelfall zuzulassen, zu sperren, beim Aussteigen zu löschen,......
Im Übrigen hast im Normalfall (solange das System nicht kompromitiert wurde) nur Du selbst Zugriff auf Deine Cookies.
Gruß und *zirp*
GriLLe
--
Aus Fehlern wird man klug, darum ist einer nicht genug...

Re(3): Opera: Passwort in plain-text in Cookiedatei?

Dr. Watson — Mon, 14 Aug 2006 07:26:47 GMT

Direkt in der Passworteingabe kann man sich mit dem Hash sicher nicht anmelden...das Skript dahinter berechnet ja den Hash vom Eingabeformular-Feld, und somit würde der Hash vom Hash herauskommen -> Login nicht möglich.

Ginge nur, in dem man das komplette Cookie fälscht, denn dann wird vom Skript am Server kein Hash über den Wert berechnet, sondern direkt verglichen.

Eine Ausnahme ist da natürlich wie sooft Geizhals, wo das Passwort plaintext im Cookie drinsteht.

Re(2): Opera: Passwort in plain-text in Cookiedatei?

adhoc — Mon, 14 Aug 2006 06:07:56 GMT

wobei das, in diesem! fall, nicht viel bringen würde, weil man sich mit dem hash ja auch anmelden könnte (sonst braucht man es nicht speichern)

und dann das passwort beliebig ändern könnte...

usw....

Re(3): Opera: Passwort in plain-text in Cookiedatei?

Robert Craven — Thu, 10 Aug 2006 12:50:01 GMT

Wieso aktivierst nicht einfach die Wand? Die ist für Logins und Passwörter gedacht und eben nicht im Plaintext verfügbar.

Re(3): Opera: Passwort in plain-text in Cookiedatei?

Nubsi — Thu, 10 Aug 2006 12:46:13 GMT

Heiße Ohrli gibts da aber auch für kgerstl, wenn er sein Hochsicherheitspasswort

1. für die GH-Forumsanmeldung verwendet,
2. im Klartext durchs Netz schickt
3. sich wundert, wenn es zwecks Komfort (dauerhafter Login) in einem Cookie landet

MäfG,

Re: Opera: Passwort in plain-text in Cookiedatei?

Dr. Watson — Thu, 10 Aug 2006 07:30:12 GMT

"dss" hat Recht - die Cookies müssen nicht verschlüsselt, weil darin ein Passwort auch nix verloren hat.
Maximal sollte sich ein Passwort-Hash darin finden lassen, von dem man aber nie wieder auf das originale Passwort schließen kann.

Re: Opera: Passwort in plain-text in Cookiedatei?

dss — Thu, 10 Aug 2006 07:20:44 GMT

Klar liegen die Cookies in Plaintext auf der Platte. Würde ja eh nix bringen. Selbst wenn sie verschlüsselt auf der Platte liegen würden, könnte sie sich trotzdem jeder im Browser im Klartext anzeigen lassen. In Cookies sollten ja auch keine sensiblen Daten wie Passwörter gespeichert werden. Allerdings kann da der Browser-Hersteller auch nichts dafür. Das liegt im Verantwortungsbereich des Programmierers/Homepage-Betreibers.

Was anderes ist es mit der Passwort-Speicher-Funktion des Browsers. Die sollten alle verschlüsselt sein.

Re(3): Opera: Passwort in plain-text in Cookiedatei?

Compe — Wed, 09 Aug 2006 18:18:09 GMT

man kann die ganzen pws jedenfalls im browser anschaun .. also wohl auch net anders^^

Re(3): Opera: Passwort in plain-text in Cookiedatei?

Robert Craven — Wed, 09 Aug 2006 18:00:55 GMT

Keine Ahnung. Hab keinen FF im Einsatz. Im Opera kannst die Passwörter aber mit der Wand speichern. Und AFAIK sinds da nicht im Klartext.

Re: Opera: Passwort in plain-text in Cookiedatei?

Robert Craven — Wed, 09 Aug 2006 17:42:38 GMT

Cookies liegen auch beim IE im Plaintext auf der Platte.