HTTP-only Cookies (Schutz vor Cookie Klau / XSS)

#0
20.09.2006, 12:34
Member
Avatar Tille

Beiträge: 451
#1 Hallo,

ich bin gerade über die Option der HTTP-only Cookies gestolpert

Zitat

HttpOnly Cookies, um XSS-Angriffe zu vermeiden - Bestimmte Cookies stehen Javascripten nicht mehr zur Verfügung, um XSS-Angriffe, die Daten stehlen wollen, zu vermeiden. Eine ähnliche Funktion wird auf unsere Anregung hin auch in PHP 5.2.0 enthalten sein.
diese Option ist mir neu, finde ich allerdings sehr praktisch, da damit viel XSS ausgeschlossen wird!

meine Frage allerdings:
wie setzt man diesen HTTP-only Cookie mit PHP??
http://de.php.net/setcookie - gibt mir da noch nicht wirklich eine Antwort!
Muss man aufpassen, weil manche alte Browser das noch nicht unterstützen, oder ist das ganze failsafe?

vielen Dank
Tille

P.S. Infos siehe auch: http://msdn.microsoft.com/workshop/author/dhtml/httponly_cookies.asp
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.
Seitenanfang Seitenende
20.09.2006, 14:05
Member
Avatar Xeper

Beiträge: 5291
#2

Zitat

P.S. Infos siehe auch: http://msdn.microsoft.com/workshop/author/dhtml/httponly_cookies.asp
Naja Microsoft und HTML? *lol*
Haben die es überhaupt scho geschafft nen Browser zu proggn der HTML und CSS korrekt darstellen kann - keine Ahnung IE7 kenn ich noch nicht.
Aber wie ich findee nicht die beste Quelle für sowas.
Und zum Bezug auf DHTML - gibts sowieso nicht das ist dann wieder sowas durchgesetztes was nur auf einen Browser geht (in diesem Falle IE7).
Ich weiß nicht die Browser müßten sich ja auch danach richten oder nicht?

Wo steht denn dein Zitat, wo ist die Quelle?
Vielleicht kommt das ja noch in PHP.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
02.01.2007, 15:05
...neu hier

Beiträge: 3
#3 Ich empehle nicht zu benutzen httponly. Es gibt exploits für das.
Seitenanfang Seitenende
02.01.2007, 15:34
Member
Avatar Laserpointa

Beiträge: 2176
#4

Zitat

fokima postete
Ich empehle nicht zu benutzen httponly. Es gibt exploits für das.
kannst Du das bitte belegen?
ansonsten bitte ich darum Deinen Beitrag zu entfernen!

was möglich wäre, mir aber im Augenblick nicht bekannt, wären Sicherheitslücken in aktuellen Browsern...?

Greetz Lp
Seitenanfang Seitenende
02.01.2007, 17:48
...neu hier

Beiträge: 3
Seitenanfang Seitenende
02.01.2007, 20:05
Member
Avatar Xeper

Beiträge: 5291
#6

Zitat

fokima postete
Ob Sie sprechen Englishh: http://lists.grok.org.uk/pipermail/full-disclosure/2003-January/003301.html
Jo sieht schlecht aus für MS mal wieder, dass übliche.
Wer benutzt scho IE *lol* egal ob 7 oder 6.
Wiedermal mein üblicher Spruch "dumm bleibt dumm, da helfen keine Pillen" ;)

Edit: das schlimmste daran ist ja das die Meldung schon alt ist.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: