cookie rubati intercettati o clonati: problema reale?

Dicono che non sia cosa buona e giusta salvare in un cookie la username e password dell'utente che si è loggato. Io però ho fatto delle prove. Nello specifico ho un sistema di login molto semplice: se il login va a buon fine allora setto un cookie in questo modo:

codice: setcookie(username, $_POST['user'], time()+3600);

$_POST['user'] arriva chiaramente dal form usato per il login. Se il soggetto che si ripresenta ad una delle pagine di amministrazione rispetta la regola isset($_COOKIE['username']) (possiede un cookie con settata la variabile username) allora lo script gli attribuisce privilegi di amministratore e può agire liberamente (cancellare, fare, brigare, ecc.). Tutto molto semplice ed ingenuo!

Torniamo alle prove che ho fatto. In sostanza ho fatto finta di essere uno che viene in possesso del cookie dell'utente loggato. Quindi ho preso il cookie dalla cartella cookie dell'utente, l'ho salvato su stick e l'ho messo sulla cartella cookie di un'altro pc. Sono andato su una delle pagine di amministrazione e inaspettatamente non mi ha riconosciuto come loggato. come mai? non dovrei essere risultato un portatore di $_COOKIE['username'] e quindi autorizzato ad agire da utente registrato?

inviato 10 anni fa
Enea Zenni
X 0 X

Non so perché non ha funzionato. Comunque con firefox posso crearmi un cookie in pochi secondi, quindi....

risposto 10 anni fa
Gianni Tomasicchio
X 0 X

e come fai? spiega un pò? e dove sono messi i cookie di firefox?

risposto 10 anni fa
Enea Zenni
X 0 X

Se avessi già finito l'articolo.....

Se non ricordo male con IE il nome del cookie ha il nome dell'host che l'ha ricevuto:

Cookie:host@dominio (a.e. in ufficio da me si chiamano: "Cookie:paghe1@www.google.it/")

Oltre a spostarlo hai anche cambiato il nome dell'host indicando quello del nuovo pc?

Con firefox sono invece salvati tutti in un unico file di testo, ma non ho avuto modo di capire come funziona.

Edit:

I cookie di firefox sono tutti nel file cookies.txt che si trova nella cartella:

%AppData%\Mozilla\Firefox\Profiles\TUOPROFILO

risposto 10 anni fa
LonelyWolf
modificato 10 anni fa
X 0 X
Effettua l'accesso o registrati per rispondere a questa domanda