QUOTE (cr4m0 @ So 2.03.2008, 00:26)Ist es wirklich so schlecht, die Benutzernamen und das Passwort (Hash+Salt) in einem Cookie zu speichern? Das Cookie mit der Session-ID kann ja genauso gestohlen werden wie auch das Cookie mit den Benutzerdaten. Wo liegt also der Vorteil vom Cookie mit der Session-ID?
Eigentlich ist das eine prinzipielle Frage. Es gibt das 'Prinzip der minimalen Rechte' (Principle of least Privilege): Immer nur das verwenden, was minimal zur Erfüllung der Aufgabe notwendig ist.
Da eine Session-ID zur Zweckerfüllung genügt und diese keine Information über Nutzername / Passwort enthält, ist diese Lösung vorzuziehen.
Insofern kann man das durchaus als Prinzipienreiterei betrachten - die sich allerdings durchaus bewährt hat.
Es gibt einfach keinen Grund, Nutzername und Passwort standardmäßig zu exportieren.
Für den Artikel
Datenbank-Systeme für Web- und lokalen Zugriff: Merkmale einer sicheren Architektur, den ich nach Gesprächen mit jemandem aus dem Datenschutz-Bereich geschrieben hatte, habe ich die Geschichte dieses Prinzips der minimalen Rechte ein klein wenig recherchiert. Links finden sich ganz am Ende des Artikels. Das Prinzip wurde zum ersten Mal 1975 formuliert.