Wenn ich ein eine ssl Verbindung nutze und die Session Id per cookie übertrage, ist das dann einigermaßen Sicher?
Ich möchte eine Admin Bereich für ein CMS erstellen, der auch von Internet Cafes aus benutz werden soll.

Gruß Daniel <tux.ICBlood> Gultsch

Eine SSL-Datenverbindung kann als sicher eingestuft werden, sofern kein Proxy zwischen Client und Server steht. So benutzen z.B. Wirtschaftsunternehmen Proxies, um SSL-Verbindungen zu überwachen und damit ihre Betriebsgeheimnisse zu schützen. SSL hat mit der Sicherheit von Cookies nichts zu tun.

Wie Cookies abgelegt werden, hängt ja vom verwendeten Browser ab, und ist potenziell unsicher. Deswegen sollte man sich insbesondere auf öffentlichen Terminals als Administrator eines CMS ausloggen, sobald man den Rechner verlässt. Beim Ausloggvorgang wird (normalerweise) der Session Cookie gelöscht, wodurch die Session nicht mehr geklaut werden kann.

Wenn die Session-ID außerdem nicht nur aus der User-ID, sondern auch aus einem Zeitindex besteht, verfallen alte Sessions automatisch, sobald sich der Benutzer (an einem anderen Computer) neu einloggt.

Gruß, SloMo