[COOKIES] Wie sicher?

[zyclop]

Hallo,
wie sicher/unsicher sind sind md5 verschlüsselte Passwörter in einem Cookie?
D.h. wie leicht lässt sich das Passwort hacken, oder geht das überhaupt?

Ich wollte nämlich ein Login via Cookie coden... in dem Cookie werden einfach nur Benutzername und Passwort gespeichert!

userasswort -> sieht im Cookie z.B. so aus:

zyclop%1c37fc4d8982fe7956dbac0851447b3d

---zyclop

 

[tleilax]

MD5 ist eigentlich schon recht sicher. Wenn Du aber noch ein bisschen sicherer sein willst, speicher den Usernamen nicht mit im Cookie, sondern erstell einen Hash von Username + Passwort + Salt (von Dir gegebener Zusatz). Sprich:

define('SALT', 'something');
$cookie_hash = md5( $username . $password . SALT );

Beim Validieren des Users gegen die Datenbank kannst Du dann das gleiche Schema anwenden:

$query = "SELECT userid, username FROM users WHERE MD5( CONCAT( username, password, '".SALT."' ) ) = '$cookie_hash'";

Somit reicht es nichtmal mehr, Usernamen und Passwort zu kennen, um sich mittels Cookie einzuloggen.

 

[zyclop]

Ok.. oder eben in eine Session

danke für die Antwort ^^ ich hab gedacht das man das PW vielleicht sehr einfach rausbekommt... aber das is ja wohl nich der Fall und so wichtig is ja die Seite nich, also uninteressant für Hacker xD

---zyclop